样本*3，陆续送上

XywCloud

一次只能传一个样本是一件十分痛苦的事情……

XywCloud

第二个

消停

完整路径: f:\样本\fraps_kor.exe
威胁: Downloader
____________________________
____________________________
在电脑上的创建时间 2012-6-26 ( 12:26:45 )
上次使用时间 2012-6-26 ( 12:26:45 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________

____________________________
文件操作
文件: f:\样本\fraps_kor.exe
已阻止
____________________________
文件指纹 - SHA:
950cd9eb5a6b7e33c50cd515312326a4ab26f333553c0f54d93be9d22db43d83
____________________________
文件指纹 - MD5:
65cb4142281dc6e5346dca383a85ac35
____________________________



完整路径: F:\样本\fraps.dll
____________________________
____________________________
开发人员 不可用
版本 2.0.0.1777
安装时间 2012-6-26 ( 12:26:42 )
上次使用时间 不可用
启动项目 否
____________________________
____________________________
____________________________
少量用户信任的文件
诺顿社区中有数百名用户使用了此文件。
____________________________
发布已久的文件
该文件已在 2 年 7 个月 前发行。
____________________________
弱
有一些迹象表明此文件不可信。
____________________________
源文件:
winrar.exe

创建的文件:
fraps.dll
____________________________
文件指纹 - SHA:
d95642c948401fe519a4878ee6c2d20784340acfedbf1bfb3423cfe0a0f0a8a6
____________________________
文件指纹 - MD5:
c7fb223576d5032f57955490a4c8e04a
____________________________




完整路径: f:\样本\k9x\k9x.exe
威胁: Packed.Generic.362
____________________________
____________________________
在电脑上的创建时间 2012-6-26 ( 12:27:53 )
上次使用时间 2012-6-26 ( 12:27:53 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________

____________________________
文件操作
文件: f:\样本\k9x\k9x.exe
已阻止
____________________________
文件指纹 - SHA:
10e3057e9c3a19ebaed894467da2a09e2ead358f11ae00c7288afcd404129697
____________________________
文件指纹 - MD5:
0365eb3a8d2c6ec1dbcf13503c097347
____________________________

XywCloud

the last one.

消停

XywCloud 发表于 2012-6-26 12:28
the last one.

过了诺顿扫描！

sungan01

1L
AVIRA clean
文件 ID         文件名         大小(字节)        结果
26959618         fraps_kor.zip        152.42 KB        OK
以下位置提供了存档中包含的文件及其结果的列表:
文件 ID         文件名         大小(字节)        结果
26454037         fraps_kor.exe         188 KB         FALSE POSITIVE
26385954         fraps.dll         76 KB         FALSE POSITIVE




下面提供了与每个样本相关的详细报告:
 文件名        结果
 fraps_kor.exe         FALSE POSITIVE




已确定“fraps_kor.exe”文件是“FALSE POSITIVE”。 具体而言，这意味着此文件不是恶意程序，而是一次误报。 我们的分析人员将这种威胁命名为“”。 以下版本的病毒定义文件(VDF)中将删除这项检测: 7.11.20.91. 




 文件名        结果
 fraps.dll         FALSE POSITIVE




已确定“fraps.dll”文件是“FALSE POSITIVE”。 具体而言，这意味着此文件不是恶意程序，而是一次误报。 以下版本的病毒定义文件(VDF)中将删除这项检测: 7.11.17.87. 

XywCloud

sungan01 发表于 2012-6-26 12:32
1L
AVIRA clean

……第一个就被过了

sungan01

2L  AVIRA blocked this web page.

警告
为保证您的安全，将不会访问此网页
在请求的页面的 HTTP 数据中发现病毒或恶意程序。
2L  AVIRA  killed


请求的 URL:                http://bbs.kafan.cn/forum.php?mo ... Dc2NTUxNXwxMzE1MzYz
信息:                是 TR/Crypt.XPACK.Gen 特洛伊木马

XywCloud

sungan01 发表于 2012-6-26 12:32
1L
AVIRA clean
文件 ID         文件名         大小(字节)        结果

好吧，又有白样本。
很抱歉，本人是手机上收集样本，没法过滤白样本……

sungan01

3L AVIRA blocked this web page.

在请求的页面的 HTTP 数据中发现病毒或恶意程序。



请求的 URL:                http://bbs.kafan.cn/forum.php?mo ... Dc2NTUxNXwxMzE1MzYz
信息:                包含 BDS/Farfli.kj.2 后门程序的识别模式(有害)