可以通过微软认证的病毒？？

显示全部楼层 · 发表于 2008-6-11 11:27:28

只有大蜘蛛和ik报。在本机运行，侵入正常explorer，然后自己变成他，。。。。然后开始联网下载病毒，运行。但是copy到其他机器运行就是正常的文件了，没有其他动作。。。。不明白，这也是下面的都说是误报的。为什么会这样，难道这个文件是另外病毒根据独立机器特定生成的？高手分析下把

刚才做了一下md5在网上找不到相同的79c5b0781e92d0d5f7980da70243b13b 应该是被修改过的文件。所以大蜘蛛等报应该也是没有错误的

[ 本帖最后由 tgzw1680 于 2008-6-11 06:22 编辑 ]

显示全部楼层 · 发表于 2008-6-11 12:17:32

没有恶意动作.

显示全部楼层 · 发表于 2008-6-11 12:21:26

误报！

显示全部楼层 · 发表于 2008-6-11 12:50:24

一个纯粹的桌面程序explorer.exe

显示全部楼层 · 发表于 2008-6-11 13:30:42

饿。。。
听解释。。。
不过。。。
病毒可能在启动文件里。。。

显示全部楼层 · 发表于 2008-6-11 15:25:38

文件说明符 : C:\WINDOWS\explorer.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
说明 : Windows Explorer
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00.2900.3156
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : explorer
源文件名 : EXPLORER.EXE
创建时间 : 2004-8-17 12:0:0
修改时间 : 2007-6-13 21:21:56
访问时间 : 2008-6-11 0:0:0
大小 : 977920 字节 955.0 KB
MD5 : 0b55963e2c8129d9d2504a3c291447e0
SHA1: 111E37FF93315BEA28F80C5748384262047DD15A
CRC32: b6163e9f

文件说明符 : C:\Documents and Settings\byxx\桌面\EXPLORER.EXE
属性 : A---
语言 : 中文(中国)
文件版本 : 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)
说明 : Windows Explorer
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.00.2900.3156
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : explorer
源文件名 : EXPLORER.EXE
创建时间 : 2008-6-11 15:21:47
修改时间 : 2007-6-13 21:21:56
访问时间 : 2008-6-11 0:0:0
大小 : 977920 字节 955.0 KB
MD5 : 79c5b0781e92d0d5f7980da70243b13b
SHA1: B430683AB60CDB3071F58B68248B504ED1900818
CRC32: 5b170aef

应该是被修改过，可能下载者另有其人（比如它调用的DLL文件）。

[ 本帖最后由 byxxdrls 于 2008-6-11 15:28 编辑 ]

显示全部楼层 · 发表于 2008-6-11 15:27:45

我用sigverif命令验证了一下，此文件并未通过数字签名验证！

显示全部楼层 · 发表于 2008-6-11 20:54:17

此文件未存在问题。

显示全部楼层 · 发表于 2008-6-11 21:08:57

0104C5C1       57                push edi                                     //0007FF18 0007FF1C  ASCII "ws2_32.dll"
0104C5C2       C707 7773325F    mov dword ptr ds:[edi],5F327377
0104C5C8       C747 04 33322E64 mov dword ptr ds:[edi+4],642E3233
0104C5CF       C747 08 6C6C0012 mov dword ptr ds:[edi+8],12006C6C
0104C5D6       E8 76F9FFFF       call EXPLORER.0104BF51

7C801D98       6A 00             push 0
7C801D9A       6A 00             push 0
7C801D9C       FF75 08          push dword ptr ss:[ebp+8]
7C801D9F       E8 ABFFFFFF       call kernel32.LoadLibraryExA

00CFFE1C 00CFFF30  ASCII "v.laidown.com.cn/v.txt"

C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR.SNOOPY-B36AC7C9\桌面\EXPLORER\EXPLORER.EXE
协议类型:TCP
本地地址:0.0.0.0
本地端口:2430
远端地址:121.11.86.30(广东)
远端端口:80

000A3618  76 2E 6C 61 69 64 6F 77 6E 2E 63 6F 6D 2E 63 6E  v.laidown.com.cn
000A3628  2F 31 31 31 31 31 2E 65 78 65 0D 0A 77 77 77 2E  /11111.exe..www.
000A3638  6C 61 69 64 6F 77 6E 2E 63 6F 6D 2E 63 6E 2F 6A  laidown.com.cn/j
000A3648  73 2F 6A 73 31 2E 65 78 65 0D 0A 77 77 77 2E 6C  s/js1.exe..www.l
000A3658  61 69 64 6F 77 6E 2E 63 6F 6D 2E 63 6E 2F 6A 73  aidown.com.cn/js
000A3668  2F 6A 73 32 71 2E 65 78 65 0D 0A 77 77 77 2E 6C  /js2q.exe..www.l
000A3678  61 69 64 6F 77 6E 2E 63 6F 6D 2E 63 6E 2F 6A 73  aidown.com.cn/js
000A3688  2F 6A 73 33 2E 65 78 65 0D 0A 77 77 77 2E 6C 61  /js3.exe..www.la
000A3698  69 64 6F 77 6E 2E 63 6F 6D 2E 63 6E 2F 6A 73 2F  idown.com.cn/js/
000A36A8  6A 73 34 2E 65 78 65 0D 0A 77 77 77 2E 6C 61 69  js4.exe..www.lai
000A36B8  64 6F 77 6E 2E 63 6F 6D 2E 63 6E 2F 6A 73 2F 6A  down.com.cn/js/j
000A36C8  73 35 2E 65 78 65 0D 0A 77 77 77 2E 6C 61 69 64  s5.exe..www.laid
000A36D8  6F 77 6E 2E 63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73  own.com.cn/js/js
000A36E8  36 2E 65 78 65 0D 0A 77 77 77 2E 6C 61 69 64 6F  6.exe..www.laido
000A36F8  77 6E 2E 63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 37  wn.com.cn/js/js7
000A3708  2E 65 78 65 0D 0A 77 77 77 2E 6C 61 69 64 6F 77  .exe..www.laidow
000A3718  6E 2E 63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 38 2E  n.com.cn/js/js8.
000A3728  65 78 65 0D 0A 77 77 77 2E 6C 61 69 64 6F 77 6E  exe..www.laidown
000A3738  2E 63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 39 2E 65  .com.cn/js/js9.e
000A3748  78 65 0D 0A 77 77 77 2E 6C 61 69 64 6F 77 6E 2E  xe..www.laidown.
000A3758  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 30 2E 65  com.cn/js/js10.e
000A3768  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A3778  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 31 2E 65  com.cn/js/js11.e
000A3788  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A3798  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 32 2E 65  com.cn/js/js12.e
000A37A8  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A37B8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 33 2E 65  com.cn/js/js13.e
000A37C8  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A37D8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 34 2E 65  com.cn/js/js14.e
000A37E8  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A37F8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 35 2E 65  com.cn/js/js15.e
000A3808  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A3818  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 36 2E 65  com.cn/js/js16.e
000A3828  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A3838  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 37 2E 65  com.cn/js/js17.e
000A3848  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A3858  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 38 2E 65  com.cn/js/js18.e
000A3868  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A3878  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 31 39 2E 65  com.cn/js/js19.e
000A3888  78 65 0D 0A 77 77 31 2E 6C 61 69 64 6F 77 6E 2E  xe..ww1.laidown.
000A3898  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 30 2E 65  com.cn/js/js20.e
000A38A8  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A38B8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 31 2E 65  com.cn/js/js21.e
000A38C8  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A38D8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 32 2E 65  com.cn/js/js22.e
000A38E8  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A38F8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 33 2E 65  com.cn/js/js23.e
000A3908  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A3918  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 34 2E 65  com.cn/js/js24.e
000A3928  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A3938  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 35 2E 65  com.cn/js/js25.e
000A3948  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A3958  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 36 2E 65  com.cn/js/js26.e
000A3968  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A3978  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 37 2E 65  com.cn/js/js27.e
000A3988  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A3998  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 38 2E 65  com.cn/js/js28.e
000A39A8  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A39B8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 32 39 2E 65  com.cn/js/js29.e
000A39C8  78 65 0D 0A 77 77 32 2E 6C 61 69 64 6F 77 6E 2E  xe..ww2.laidown.
000A39D8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 33 30 2E 65  com.cn/js/js30.e
000A39E8  78 65 0D 0A 77 77 33 2E 6C 61 69 64 6F 77 6E 2E  xe..ww3.laidown.
000A39F8  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 33 31 2E 65  com.cn/js/js31.e
000A3A08  78 65 0D 0A 77 77 33 2E 6C 61 69 64 6F 77 6E 2E  xe..ww3.laidown.
000A3A18  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 33 32 2E 65  com.cn/js/js32.e
000A3A28  78 65 0D 0A 77 77 33 2E 6C 61 69 64 6F 77 6E 2E  xe..ww3.laidown.
000A3A38  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 33 33 2E 65  com.cn/js/js33.e
000A3A48  78 65 0D 0A 77 77 33 2E 6C 61 69 64 6F 77 6E 2E  xe..ww3.laidown.
000A3A58  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 33 34 2E 65  com.cn/js/js34.e
000A3A68  78 65 0D 0A 77 77 33 2E 6C 61 69 64 6F 77 6E 2E  xe..ww3.laidown.
000A3A78  63 6F 6D 2E 63 6E 2F 6A 73 2F 6A 73 33 35 2E 65  com.cn/js/js35.e
000A3A88  78 65                                           xe

显示全部楼层 · 发表于 2008-6-11 21:33:14

楼上的是不是就是说此文件确实有问题，但是为什么别的机器运行没有问题？只有中毒的机器才有问题啊。。。

[病毒样本] 可以通过微软认证的病毒？？

本帖子中包含更多资源