求分析这4个可疑文件

显示全部楼层 · 发表于 2012-6-16 22:39:45

qyf740 发表于 2012-6-16 22:21
能分析出哪个是木马下载者不？

卡巴、ESET、MSE 均表示 applefalse.exe 是木马下载者。

显示全部楼层 · 发表于 2012-6-16 22:40:08

酱紫啊~ 发表于 2012-6-16 22:34
我觉得si[1].exe是木马下载者

这个，你真的猜错了！！

显示全部楼层 · 发表于 2012-6-16 22:40:20

Malcide Scanner
Version - 1.0.687

Heuristics - Extreme

Scanning now...
Date - 2012/6/16 Time - 22:38:46
Targets:
C:\Users\Gateway\Desktop\11

C:\Users\Gateway\Desktop\11\applefalse.exe - HEUR:Win32.Malware.Gen.2
C:\Users\Gateway\Desktop\11\si[1].exe > UPX - HEUR:Win32.Trojan-Dropper.Gen
C:\Users\Gateway\Desktop\11\t1218.exe - Win32.Packed.VMProtect.1

4 Objects scanned
0 Malicious objects found
3 Suspicious objects found
3 Threats found

Finish time - 22:38:48
Duration - 2 seconds (00:00:02)

显示全部楼层 · 发表于 2012-6-16 22:42:42

hx1997 发表于 2012-6-16 22:39
卡巴、ESET、MSE 均表示 applefalse.exe 是木马下载者。

真的么？？那我去找找这个applefalse.ext是从哪来的……
那个Si应该是个地下城的盗号木马……

显示全部楼层 · 发表于 2012-6-16 22:42:44

abc.exe 压根不是病毒，是 404 页...

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>无法找到该页</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=GB2312">
<STYLE type="text/css">
  BODY { font: 9pt/12pt 宋体 }
  H1 { font: 12pt/15pt 宋体 }
  H2 { font: 9pt/12pt 宋体 }
  A:link { color: red }
  A:visited { color: maroon }
</STYLE>
</HEAD><BODY><TABLE width=500 border=0 cellspacing=10><TR><TD>

<h1>无法找到该页</h1>
您正在搜索的页面可能已经删除、更名或暂时不可用。
<hr>
<p>请尝试以下操作：</p>
<ul>
<li>确保浏览器的地址栏中显示的网站地址的拼写和格式正确无误。</li>
<li>如果通过单击链接而到达了该网页，请与网站管理员联系，通知他们该链接的格式不正确。
</li>
<li>单击<a href="javascript:history.back(1)">后退</a>按钮尝试另一个链接。</li>
</ul>
<h2>HTTP 错误 404 - 文件或目录未找到。<br>Internet 信息服务 (IIS)</h2>
<hr>
<p>技术信息（为技术支持人员提供）</p>
<ul>
<li>转到 <a href="http://go.microsoft.com/fwlink/?linkid=8180">Microsoft 产品支持服务</a>并搜索包括“HTTP”和“404”的标题。</li>
<li>打开“IIS 帮助”（可在 IIS 管理器 (inetmgr) 中访问），然后搜索标题为“网站设置”、“常规管理任务”和“关于自定义错误消息”的主题。</li>
</ul>

</TD></TR></TABLE></BODY></HTML>

显示全部楼层 · 发表于 2012-6-16 22:45:11

hx1997 发表于 2012-6-16 22:42
abc.exe 压根不是病毒，是 404 页...

估计我传的那个是已经运行过的，要是能抓到还没运行过的再传个……

显示全部楼层 · 发表于 2012-6-16 22:52:44

qyf740 发表于 2012-6-16 22:40
这个，你真的猜错了！！

额，

显示全部楼层 · 发表于 2012-6-16 22:53:35

abc.exe  访问SYSTEM内存。
applefalse.exe  修改网络配置、联网。
si[1].exe  系统关键位置创建文件、修改网络配置
t1218.exe  COMODO侦察不到行为
以上基本都可以确定是毒了，而且数字都报了，COMODO的启发式分析也报了。

显示全部楼层 · 发表于 2012-6-16 22:54:35

Ｍy↘じ★ve 发表于 2012-6-16 22:53
abc.exe  访问SYSTEM内存。
applefalse.exe  修改网络配置、联网。
si[1].exe  系统关键位置创建文件、 ...

abc.exe 是个 404 页，不是病毒...

360 报了？？

显示全部楼层 · 发表于 2012-6-16 22:57:17

Ｍy↘じ★ve 发表于 2012-6-16 22:53
abc.exe  访问SYSTEM内存。
applefalse.exe  修改网络配置、联网。
si[1].exe  系统关键位置创建文件、 ...

嗯嗯嗯，辛苦啦！

[病毒样本] 求分析这4个可疑文件

本帖子中包含更多资源