一个几乎被所有杀软误判的病毒(图)_1

今天下午收到一个样本，是一个PE感染型的病毒，同时具有反-杀毒软件的功能，并且可以通过U盘和网络传播。但是其最主要的危害在于——受感染的文件在运行后会被删除！

而另一方面，大部分主流杀毒软件帮了倒忙，受感染的文件或被误检测为后门，或被误检测为蠕虫，或被误检测为木马，最终将被感染的文件删除而非进行清除修复。

以下是受感染的记事本文件（notepad.exe）的检测结果

FileName : NOTEPAD.EXE

TrendMicro : PE_ENISSEC.JM

Symantec : Backdoor.Trojan

McAfee : New Malware.aq !!

Kaspersky : Trojan-Downloader.Win32.Delf.qmt

Rising : [>>nspack]:Worm.Win32.Undef.bt

Norman : Trojan W32/Packed_Nspack.A

HBEDV : TR/Dldr.Delphi.Gen

Nod32 : NO_VIRUS

Panda : NO_VIRUS

CAI : NO_VIRUS

CAV : NO_VIRUS

Microsoft : NO_VIRUS

Fortinet : NO_VIRUS

Clamav : NO_VIRUS

Ewido : NO_VIRUS

Grisoft : NO_VIRUS

Fprot : NO_VIRUS

Ad-Aware : NO_VIRUS

可以看到除了趋势科技正常的检测为PE感染型病毒并成功清除外，其他杀毒软件都不检测或检测错误：赛门铁克检测为后门木马（处理措施删除），麦咖啡检测为启发式检测，卡巴斯基检测为木马下载器（处理措施删除），瑞星检测为蠕虫（处理措施删除）。

可以想见，如果电脑中了这个病毒之后用户采用以上品牌的杀毒软件非但不能有效的清除病毒，反而会将收感染的正常文件删除从而导致更大的损失。

以下是这个病毒的一些详细信息：

文件名：TXPlatform.exe

文件大小：76,295 字节

MD5：72f15fd22e6d41101c8524831745b6f2

加壳信息：双层壳，第一层北斗壳，第二层未知壳

原始文件

脱了一层壳