趋势科技中国区网络安全监测实验室(China RTL) 2012 年 9 月 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ TrendMircro CN RTL 反病毒工具 build 1.0.12.1212 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. 关于TrendMircro CN RTL 反病毒工具 ======================================================================== TrendMicro CN RTL 反病毒工具是一款轻量级无驱动的病毒专杀,可疑文件收集以及电脑疑似病毒查找辅助工具。 用于处理一些具有特殊行为的恶意程序并,且可以用以修复一些无法用杀毒软件直接处理的病毒残留。 2. 功能 ======================================================================== 病毒查杀 excel 宏病毒: ------------- 针对Excel 宏病毒 x97m_olemal.a, X97M_LAROUX.AJN 的查杀以及对此宏病毒修改的系统进行修复。 针对具有以下恶意行为的宏进行查杀: 欺骗用户启用Excel宏功能,执行恶意代码 在StartUP文件夹中释放文件,感染其他excel 在ExcelStartUp文件夹中释放启动文件 感染excel文件,插入StartUp_N命名的病毒模块 利用Excel脚本向外发送垃圾邮件 病毒行为查杀: -------------      DownAD恶性病毒      针对金融证券行业的,窃取信息的间谍软件 (TROJ_JNCTN.A-CN)   针对具有以下恶意行为的程序进行查杀:           伪装成系统进程,盗取您的网银帐号     通过欺骗用户,盗取国内各大银行,交易平台的货币          伪装成各种文件以欺骗用户的病毒          在中文版putty中插入了恶意的代码,可能会威胁到您的帐号密码安全   针对以下病毒现象进行修复:          无法使用任务管理器(ctrl+alt+del)功能          无法使用注册表编辑器(regedit)功能   可疑收集   恶意文件收集:   -------------       收集具有以下恶意行为的文件:         搜索系统中保存的IE,OutLook,代理,MSN等多种密码,并连接网络发送数据      伪装成各种文件以欺骗用户的病毒      会尝试阻止杀毒软件的正常工作,破坏杀毒软件的功能            会使用不同的密码组合尝试破解系统和各种软件的帐号      系统安全日志收集:   -------------            在非正常使用时间远程连接电脑             在非正常使用时间连续使用错误的密码尝试登录电脑      增强工具         内存搜索      内存DUMP   首页保护   网络链接查询   PE_MUSTAN,PE_SALITY,PE_PARITE免疫    3. 系统需求 ======================================================================== 支持 windows 2000以上32位操作系统(windows xp , windows 7, windows 2003) 在windows 2000 系统环境中不支持图形界面 4. 联系信息 ======================================================================== 如在工具使用中有任何问题或建议请联系我们: 技术支持热线:800-820-8839 电子邮件支持:service@trendmicro.com.cn ========================================== 更新记录: 2013年4月22日 支持MBR修复功能 2012年12月12日 支持Word宏病毒扫描 增加doc.FormatDisk,doc.Relax宏病毒扫描 2012年11月27日 病毒行为扫描中,增加映像劫持扫描清除特征 2012年11月23日 增强PE_Sality释放文件的恶意线程清除 2012年11月19日 增加对WinXp Win2003安全模式的扫描与修复。 修改Excel宏病毒Startup的变种残留扫描逻辑。 2012年11月13日 修改使用的Api,使工具可以支持Windows 2000下的图形界面使用 2012年11月6日 在文件扫描中,增加一个文件夹扫描的特征,用于扫描清除.exe文件名后缀的文件夹病毒, 2012年11月5日 在调试日志中加入了,对文件删除,注册表修改,Excel操作等对系统有改动的Api的记录 位于AVBStandardLib.log 2012年11月2日 在文件扫描按钮中,增加Lpk 文件扫描特征 2012年10月30日 在病毒行为扫描中加入,对lpk病毒行为扫描的特征 2012年10月23日 在增强工具中,增加ATTK病毒清除的下载和执行按钮 2012年10月17日 在增强工具中增加 ATTK的扫描收集功能 2012年10月16日 XlsVirus_Poppy_1特征替换XlsVirus_Poppy_0特征,该特征支持Poppy病毒残留内容的扫描和清除 2012年10月11日 新增一条PE免疫特征,用于PE_Parite.a 2012年9月26日 增加PE_Sality的免疫特征,用于生成PE_Sality的互斥和,清除病毒线程 2012年9月19日 更新UI,在增强工具中增加PE免疫工具的控制台 2012年8月20日 新增一条Excel宏病毒的特征 2012年8月15 增加对浮云病毒的特征,Fuyun.lua,用于清除此类软银盗窃病毒 2012年8月7日 增加了自检机制用于防止病毒hook干扰工具的扫描结果 2012年8月6日 增加一个Excel的病毒特征, 清除Poppy病毒的一个变种 2012年8月3日 更新1.0.12.803, 在增强工具中增加对Hook的扫描工具, (注,正常软件也会进行一些Hook,在清除Hook时,请谨慎选择) 2012年7月24日 版本 :1.0.2012.724 增加进程网络活动扫描工具 位于增强工具,网络扫描 可用于枚举扫描当前系统中,活动进程中所进行的网络活动(TCP/ UDP) 2012年7月23日 在内存搜索中,增加一键Dump所有内存的功能,选择目录后dump为如下命名的文件 Notepad.exe_1804_7c000_8000.dmp