求助 - 急!從未上網的電腦被Symantec Client Security判斷中了Infostealer. Gamania

[haluko]

狀況:
小弟有兩台筆電，兩台都安裝了Symantec Client Security 3.0及WINRAR 3.5 (兩者都是從史萊姆上得到的)。一台(A)是用工作上（包含上網等工作上的使用），另一台(B)則是用在自己的影片剪輯及照片的使用上（沒裝任何的遊戲，從未進行上網的設定，更別說是上網）。

小弟習慣用A筆電將Symantec的病毒碼及相關檔案燒成光碟後用A筆電及公司的電腦掃描確認該光碟沒病毒後才會將光碟用在B筆電上。


過程
但昨日經過前述作業之後，在B筆電進行病毒掃描時，卻發現在
C:\Program Files\WinRAR中的Default.SFX檔發現Infostealer. Gamania
之後小弟再次掃描A筆電後也發現該木馬。可是WINRAR是從從史萊姆上得到的，先前也沒聽過有其他人中這木馬或是相關災情，加上目前Symantec Client Security的掃毒能力似乎不如從前，所以想請教各位先進:

1.由於小弟的Symantec Client Security中Antivirus版本是10.0.0.359，目前官網的版本已經到了10.2，可是網路上都蒐尋不到供10.0.0.359中文版升級的版本，不知各位先進能否指點小弟
2.不知道有沒有可能是Symantec Client Security中Antivirus誤判Default.SFX為病毒，因為近來Symantec Client Security誤判的消息似乎很多，加上小弟將該木馬從隔離所中還原後，確認過註冊機碼及檔案中並沒有Infostealer. Gamania所製造的相關檔案，讓小弟無法確認是否為誤判
3.C:\Program Files\WinRAR中的Default.SFX 不知道實際上有什麼功能

先謝謝大家能幫助小弟
謝謝

[superxboy]

http://virusscan.jotti.org/

可以把檔案上傳到此網站進行掃毒...以判斷是否有病毒

WinRAR可以更新到3.62以上版本

[haluko]

引用:

作者: superxboy

可以把檔案上傳到此網站進行掃毒...以判斷是否有病毒

WinRAR可以更新到3.62以上版本

請問此網站是指??

[夏天~*]

最為比較簡單的方法

你可以丟到，有掃毒功能的信箱去試試看就知道了

如hotmail之類的。

這類型的信箱都己有防毒功能，有毒的話。他就會顯示了

或是可以運用線上掃毒的方式

如熊貓線上掃毒之類的

[GaMNiA]

引用:

作者: haluko

1.由於小弟的Symantec Client Security中Antivirus版本是10.0.0.359，目前官網的版本已經到了10.2，可是網路上都蒐尋不到供10.0.0.359中文版升級的版本，不知各位先進能否指點小弟
2.不知道有沒有可能是Symantec Client Security中Antivirus誤判Default.SFX為病毒，因為近來Symantec Client Security誤判的消息似乎很多，加上小弟將該木馬從隔離所中還原後，確認過註冊機碼及檔案中並沒有Infostealer. Gamania所製造的相關檔案，讓小弟無法確認是否為誤判
3.C:\Program Files\WinRAR中的Default.SFX 不知道實際上有什麼功能

1. 到下面看看是不是你要的...
ftp://ftp.symantec.com/public/traditional_chinese/products/symantec_antivirus/symantec_antivirus_corp/10.0/updates/

2. 也有可能是誤判，不過建議你將 Default.SFX 送到下面網站讓他掃描一下：
http://www.virustotal.com/en/indexf.html

3. Default.SFX 是 WinRAR 製作自解壓縮檔的模組。

[didi]

1.我有一台電腦是用Symantec Client Security10.1.0.394
感覺很好沒有什麼問題,常見到此類軟體常常會警示出具有連線能力的軟體
例如需要檢查序號,或是會自動更新,的小軟體
2.某些情況,問題的來源可能不一定是目前看到的檔案
Infostealer.GamaniaRisk Level 1: Very Low
Discovered: June 16, 2006
Updated: June 19, 2006 10:19:00 AM ZE9
Type: Trojan Horse
Infection Length: 77312 bytes
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Infostealer.Gamania is a Trojan horse that attempts to steal sensitive information related to the Gamania Online game

最近比較常見到此類型要偷online game密碼的,比較常見的是發生在連點精靈的軟體
或是發生在某些有問題的網站,會盜Gamania橘子遊戲的木馬病毒,種類很多種,一般若是有玩不提供遊戲歷程的,就要小心一點,例如風之谷,而天堂有提供,所以雖然是同一家公司,但發生問題時,所遇到的情況和最後結果會有很大的差異
infostealer.Lineage比較多人中,還有很多種,像類似Infostealer.Wowcraft
可以說是防不勝防
3.任何網站任何網友提供的軟體,大部份情況,就算有問題,可能當事人也不知道
養成良好的習慣,例如先掃毒,或先給內行人去下,定期做相關的update,email內不要亂點
危險網站少上,可以減少比較多風險,不過我個人還是認為,除非不上網,除非只使用沒問題的軟體,不要再加東西,不難在未來都還是多多少少會發生
4.我很討厭類似這種的木馬和廣告類型的問題,我感覺這種比傳統的virus還要難處理,有時候還可能會發生沒有完全清除,我自己比較常是,去逛大陸的網站遇到
5.winrar之前有發生一點問題,若是用舊板的,可以更新一下

參考:
http://hammer.prohosting.com/~surfergo/index4.html
http://tw.knowledge.yahoo.com/questi...=1106111502626
http://tw.knowledge.yahoo.com/questi...=1206102905387
http://www.pcc-club.com.tw/ArticleDe...011&BoardID=12
有些人是收mail後才發生,不一定是原先供檔人的問題
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=11046
winrar 功能說明
http://www.plays.com.tw/vbulletin/ar...p/t-21183.html

[haluko]

先謝謝各位先進的指點
小弟在這週末花了一些時間從symantec的網站上得到一些相關知識
(http://www.symantec.com/security_res...854-99&tabid=2)
發現該木馬入侵後會在windows xp電腦中製造兩個檔
C:\windows\system32\kerne0223.exe
C:\windows\system32\kerne0223.dll
同時也在註冊碼
HKEY_CURRNT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN中產出
“KERNE0223”=” C:\windows\system32\kerne0223.exe”

由於小弟有按時用ghost備份的習慣，所以就把B筆電先回復到還沒發現病毒的狀態。回復後再進到上述資料夾來檢查是否有這兩個檔案，

結果是並未發現有該兩個檔案，同時也未在註冊碼中找到該機碼

請教各位先進上面的結果是否能證明小弟的B筆電並未中毒，而是防毒軟體誤判?
謝謝各位指點

待會要將C:\Program Files\WinRAR中的Default.SFX寄到有掃毒功能的信箱及http://www.virustotal.com/en/indexf.html試試看

[GaMNiA]

引用:

作者: haluko

發現該木馬入侵後會在windows xp電腦中製造兩個檔
C:\windows\system32\kerne0223.exe
C:\windows\system32\kerne0223.dll
同時也在註冊碼
HKEY_CURRNT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN中產出
“KERNE0223”=” C:\windows\system32\kerne0223.exe”

我可以確定你 "先前" 真的有中毒...
但是你已經 GHOST 回復了，所以病毒可能也被你蓋掉了，
建議你再做一次完整掃描，或許會比較安心...

[haluko]

引用:

作者: GaMNiA

我可以確定你 "先前" 真的有中毒...
但是你已經 GHOST 回復了，所以病毒可能也被你蓋掉了，
建議你再做一次完整掃描，或許會比較安心...

可是這就是很神奇的地方了
先前有中毒?
但小弟發現中毒前後及 GHOST 回復都沒上網
系統跟程式都是一樣的
越來越不懂了

[GaMNiA]

我說的 "先前" 是指你第一篇和第七篇的內容，而不是說 GHOST 回復後，別誤會了～

還有，有些病毒是屬於主動攻擊漏洞型的，
你可能剛灌完是無毒狀態，但是一上網後，什麼事情也沒做就中毒，
像早期的疾風病毒或是疾風病毒的變種。

最好把你的 XP 更新到 SP2 並且線上更新一下。

[haluko]

引用:

作者: GaMNiA

我說的 "先前" 是指你第一篇和第七篇的內容，而不是說 GHOST 回復後，別誤會了～

還有，有些病毒是屬於主動攻擊漏洞型的，
你可能剛灌完是無毒狀態，但是一上網後，什麼事情也沒做就中毒，
像早期的疾風病毒或是疾風病毒的變種。

最好把你的 XP 更新到 SP2 並且線上更新一下。

小第一開始沒說清楚
小弟的筆電是安裝到sp2的
至於Ghost回復前後的系統與程式等是完全相同
再加上從頭到尾都沒上網
所以才很納悶

[GaMNiA]

你會不會是做 GHOST 之前就中標了呢?.....

我個人覺得 Symantec/Norton 對於木馬還有有些病毒的變種，沒有反應(掃不到)~
所以沒掃到並不等於沒中毒喔...

建議你安裝 "小紅傘" 防毒軟體，做一下完整掃描...
"小紅傘" Avira AntiVir 英文免費版：
http://www.free-av.com/

[haluko]

引用:

作者: didi

1.我有一台電腦是用Symantec Client Security10.1.0.394
感覺很好沒有什麼問題,常見到此類軟體常常會警示出具有連線能力的軟體
例如需要檢查序號,或是會自動更新,的小軟體
2.某些情況,問題的來源可能不一定是目前看到的檔案

小弟昨日依據夏天與Gamnia兩位大大的指點
將有問題的Default.SFX寄到hotmail信箱與http://www.virustotal.com測試
下圖是hotmail

下圖是virustotal


二者都證明是無毒的
但symantec client security現在只要查到該檔都是呈現中毒,真的是很困擾

[GaMNiA]

引用:

作者: haluko

二者都證明是無毒的
但symantec client security現在只要查到該檔都是呈現中毒,真的是很困擾

我也有點困擾了...
卡巴, NOD32, 小紅傘都沒掃到，看來 "可能" 是 Symantec Client Security 誤判了~

你乾脆把 WinRAR 升級到 3.62 版好了，看看 Symantec Client Security 還會不會掃到病毒...

[不知道]

引用:

作者: haluko

可是這就是很神奇的地方了
先前有中毒?
但小弟發現中毒前後及 GHOST 回復都沒上網
系統跟程式都是一樣的
越來越不懂了

有跟A筆電做網路共享傳輸嗎?
以小弟的公司為例,雖然大部分電腦沒上網,但因內部是屬於區域網路,再加上有幾台電腦可以上網
結果竟連不能上網的電腦也被植入惡意程式

<參考>