这个是病毒否？

萨菲罗斯

谁可以验证下用了3个杀软都说有毒啊。

sam.to

Scanned file:   cc.rar  - Infected
cc.rar/cc.EXE - infected by Backdoor.Win32.VB.bpm

萨菲罗斯

不要用杀软谁能用别的工具分析下、、

will

Multi Command-Line Scanner Report
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\cc.EXE   
MD5 Hash: E09050A1E4EFD4B77E0B8C6FD94BCED8   
Type: Win32 EXE Yoda's Crypter / Extension: .EXE   

A-squared ----- Virus.Win32.HLLW.Starfil!IK    
Avast ----- Win32:VB-FTQ [Trj]    
Avg ----- BackDoor.VB.BI     
Antivir ----- BDS/VB.bpm    
BitDefender ----- Backdoor.Generic.76673    
ClamWin ----- Trojan.VB-1448    
Dr.Web ----- Nothing   
NOD32 ----- probably a variant of Win32/VB trojan    
Ikarus ----- Virus.Win32.HLLW.Starfil    
Jiangmin ----- Backdoor/VB.bwh    
Kaspersky ----- Backdoor.Win32.VB.bpm    
Kingsoft ----- Win32.Hack.VB.507904    
Vba32 ----- Backdoor.Win32.VB.bpm    

*** 12/13 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   

Task done @ 2008/10/30 四 12:25:39.08   

欠妳緈諨

使用 G DATA AntiVirus 进行病毒检测
版本 19.0.8234.790
病毒特征库日期 30.10.2008
开始时间: 30.10.2008 12:31
引擎: 引擎 A - BitDefender (AVA 19.1145), 引擎 B - Avast! (AVB 19.85)
高启发: 开启
文件: 开启
系统区域: 关闭
RootKits 检测: 开启

检测选中目录和文件:
  S:\cc.rar

项目: cc.EXE
        检查档案: S:\cc.rar
        状态: 发现病毒
        病毒: Backdoor.Generic.76673 (引擎 A)
项目: cc.EXE\[UPX]
        检查档案: S:\cc.rar
        状态: 发现病毒
        病毒: Win32:VB-FTQ [Trj] (引擎 B)
项目: cc.rar
        路径: S:
        状态: 发现病毒
        病毒: Backdoor.Generic.76673 (引擎 A), Win32:VB-FTQ [Trj] (引擎 B)

检测执行时间: 30.10.2008 12:31
    已检测 1 个文件
    已发现 1 个病毒文件
    已发现 0 个可疑文件

will

跑了下，释放一个ocx到system32  
然后创建注册表：
HKLM\software\Classes\clsid\{48E59293-9880-11CF-9754-00AA00C00908}
HKLM\software\Classes\clsid\{48E59294-9880-11CF-9754-00AA00C00908}
HKLM\software\Classes\clsid\{48E59295-9880-11CF-9754-00AA00C00908}
(这三个classid的InprocServer32都指向C:\Windows\system32\MSINET.OCX)
HKLM\software\Classes\InetCtls.Inet
HKLM\software\Classes\InetCtls.Inet.1
貌似这里的这个MSINET.OCX是一个安全的控件
所以这个样本有可能是误报
报毒的估计都是报壳了

[ 本帖最后由 will 于 2008-10-30 12:41 编辑 ]

sam.to

http://www.threatexpert.com/repo ... 4b77e0b8c6fd94bced8

hzyw

sam.to

可能是誤报,上报一下...

will

已作为误报上报到红伞。。