收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 xbQQTool,请使用vm或hips的xd帮我看看是否带马啊
返回列表 发新帖
查看: 3340|回复: 7
收起左侧

[可疑文件] xbQQTool,请使用vm或hips的xd帮我看看是否带马啊

[复制链接]
lqmouse
头像被屏蔽
发表于 2009-3-2 23:45:22 | 显示全部楼层 |阅读模式
最近找了个xbQQtool,可是不知道是否被绑了木马,请使用vm或hips的xd帮忙跟踪分析一下吧……仅仅用反毒软件扫就不用了,谢谢先

ps:virscan和VirusTotal 我都上传过了,xd们不用再试了,下面是网站的扫描结果——

VirSCAN.org Scanned Report :
Scanned time   : 2009/03/02 21:44:07 (CST)
Scanner results: 68%的杀软(25/37)报告发现病毒
File Name      : downbank0419 xbQQTool.rar
File Size      : 488604 byte
File Type      : RAR archive data, v1d, os
MD5            : 65dea567572ac832ebe1719de95ee62f
SHA1           : 06c66016ff63fd1a635fb3a2aa0b7797810967e9
Online report  : http://virscan.org/report/c8c7ac85a9ed0eb364683b1aedd766d4.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.0.0.32        20090302213319    2009-03-02  2.35   Backdoor.Win32.GrayBird.EJ!IK
安博士V3       2009.03.02.01   2009.03.02        2009-03-02  1.13   Win-Trojan/PcClient.489940
AntiVir        7.9.0.98        7.1.2.102         2009-03-02  1.89   BDS/Pcclient.GV.265
安天           2.0.18          20090302.2206924  2009-03-02  0.32   Backdoor/Win32.Hupigon.fpjg
Authentium     5.1.1           200903021012      2009-03-02  7.38   W32/Heuristic-210!Eldorado (Heuristic)
AVAST!         3.0.1           090301-0          2009-03-01  0.02   Win32:Hupigon-IUH [Trj]
AVG            7.5.52.442      270.11.5/1979     2009-03-01  2.57   PSW.Generic3.SBE
BitDefender    7.81008.2697103 7.23932           2009-03-02  2.65   Backdoor.Hupigon.26273
CA (VET)       9.0.0.143       31.6.6380         2009-03-02  3.83   -
ClamAV         0.94.2          9061              2009-03-02  0.02   PUA.Packed.NPack-2
Comodo         3.8             986               2009-03-02  0.45   Heur.Pck.NsPacK
CP Secure      1.1.0.715       2009.03.02        2009-03-02  7.21   BackDoor.W32.PcClient.gv
Dr.Web         4.44.0.9170     2009.03.02        2009-03-02  5.05   -
F-Prot         4.4.4.56        20090301          2009-03-01  6.79   Possible W32/Heuristic-210!Eldorado (not disinfectable)
F-Secure       5.51.6100       2009.03.02.03     2009-03-02  0.28   Backdoor.Win32.Hupigon.fpjg [AVP]
飞塔           2.81-3.117      10.100            2009-03-02  0.14   PossibleThreat!013314
GData          19.3570/19.242  20090302          2009-03-02  3.33   Backdoor.Win32.Hupigon.fpjg [Engine:A]
ViRobot        20090228        2009.02.28        2009-02-28  0.40   -
Ikarus         T3.1.01.45      2009.03.02.72371  2009-03-02  3.83   Backdoor.Win32.GrayBird.EJ
江民杀毒       11.0.706        2009.03.02        2009-03-02  1.82   -
卡巴斯基       5.5.10          2009.03.02        2009-03-02  0.22   Backdoor.Win32.Hupigon.fpjg
金山毒霸       2009.2.5.15     2009.3.2.18       2009-03-02  1.98   -
迈克菲         5.3.00          5540              2009-03-01  2.99   Generic BackDoor
Microsoft      1.4306          2009.03.02        2009-03-02  6.62   -
mks_vir        2.01            2009.03.02        2009-03-02  2.73   -
Norman         6.00.06         6.00.00           2009-02-27  8.01   Packed_Nspack.K
熊猫卫士       9.05.01         2009.03.01        2009-03-01  9.57   -
趋势科技       8.700-1004      5.876.03          2009-03-01  0.08   -
Quick Heal     10.00           2009.03.02        2009-03-02  1.01   -
瑞星           20.0            21.19.02.00       2009-03-02  1.28   -
Sophos         2.84.1          4.39              2009-03-02  2.38   Mal/Packer
Sunbelt        5014            5014              2009-02-27  0.84   Backdoor.PcClient.GV
赛门铁克       1.3.0.24        20090301.005      2009-03-01  0.58   Backdoor.Trojan
nProtect       20090302.02     3198810           2009-03-02  4.57   Backdoor/W32.PcClient.489940
The Hacker     6.3.2.6         v00268            2009-02-28  0.52   W32/Behav-Heuristic-063
VBA32          3.12.10.1       20090301.1431     2009-03-01  4.93   -
VirusBuster    4.5.11.10       10.101.30/963373  2009-03-01  2.87   Packed/NSPack


文件 downbank0419_xbQQTool.rar 接收于 2009.03.02 15:06:13 (CET)
反病毒引擎版本最后更新扫描结果
a-squared4.0.0.1012009.03.02Backdoor.Win32.GrayBird.EJ!IK
AhnLab-V35.0.0.22009.02.27Win-Trojan/PcClient.489940
AntiVir7.9.0.982009.03.02BDS/Pcclient.GV.265
Authentium5.1.0.42009.03.02W32/Heuristic-210!Eldorado
Avast4.8.1335.02009.03.01Win32:Hupigon-IUH
AVG8.0.0.2372009.03.01PSW.Generic3.SBE
BitDefender7.22009.03.02Backdoor.Hupigon.26273
CAT-QuickHeal10.002009.03.02-
ClamAV0.94.12009.03.02PUA.Packed.NPack-2
Comodo9862009.02.20-
DrWeb4.44.0.091702009.03.02-
eSafe7.0.17.02009.03.02Suspicious File
eTrust-Vet31.6.63802009.03.02-
F-Prot4.4.4.562009.03.01W32/Heuristic-210!Eldorado
Fortinet3.117.0.02009.03.02PossibleThreat!013314
GData192009.03.02Backdoor.Hupigon.26273
IkarusT3.1.1.45.02009.03.02Backdoor.Win32.GrayBird.EJ
K7AntiVirus7.10.6492009.02.27Backdoor.Win32.PCClient
Kaspersky7.0.0.1252009.03.02Backdoor.Win32.Hupigon.fpjg
McAfee55402009.03.01Generic BackDoor
McAfee+Artemis55402009.03.01Generic BackDoor
Microsoft1.43062009.03.02-
NOD3239012009.03.02probably a variant of Win32/Agent
Norman6.00.062009.02.27-
nProtect2009.1.8.02009.03.02-
Panda10.0.0.102009.03.02Generic Malware
PCTools4.4.2.02009.03.02Packed/NSPack
Rising21.19.02.002009.03.02-
SecureWeb-Gateway6.7.62009.03.02Trojan.Backdoor.Pcclient.GV.265
Sophos4.39.02009.03.02Mal/Packer
Sunbelt3.2.1858.22009.02.28Backdoor.PcClient.GV
Symantec102009.03.02Backdoor.Trojan
TheHacker6.3.2.6.2682009.03.01W32/Behav-Heuristic-063
TrendMicro8.700.0.10042009.03.02-
VBA323.12.10.12009.03.01-
ViRobot2009.3.2.16302009.03.02-
VirusBuster4.5.11.02009.03.01Packed/NSPack

附加信息
File size: 488604 bytes
MD5...: 65dea567572ac832ebe1719de95ee62f
SHA1..: 06c66016ff63fd1a635fb3a2aa0b7797810967e9
SHA256: 89ac7d4dbc4c738ee50b66d389c51c16b7835609d3b59a937d7d76c86cd9e199
SHA512: 0ccebcc8f42f6fe6224e94b6faac8b09c54017c6588d17efe7592adcc173ff65<BR>2be458885f40274cfd34c31991109ae61096b879744f40abd60a589a4ec8e3e6
ssdeep: 12288:zsTNnCFEsfuERDUYc4S4uGF41DqQjx2fEluEye+oF1sfU4QY+b:oTouEBA<BR>qUDuk1oQn<BR>
PEiD..: -
TrID..: File type identification<BR>RAR Archive (83.3%)<BR>REALbasic Project (16.6%)
PEInfo: -
packers (Kaspersky): NSPack
packers (Authentium): NSPack, PE_Patch
packers (F-Prot): NSPack, PE_Patch

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wcj20236
头像被屏蔽
发表于 2009-3-2 23:46:14 | 显示全部楼层
占楼。
回复

举报

nosferatu
头像被屏蔽
发表于 2009-3-2 23:53:38 | 显示全部楼层
这么大面积的报,不是毒也是毒了
回复

举报

The EQs
发表于 2009-3-2 23:55:10 | 显示全部楼层
nspack引起的误报
回复

举报

wcj20236
头像被屏蔽
发表于 2009-3-2 23:55:19 | 显示全部楼层
运行主程序,微点日志无生成物,并主程序无调用其它程序行为,只是运行密保查询有联网行为,没有下载东东,故个人暂定为基本安全。但不能说如果输入账号后有其它恶意行为。因为不了解楼主具体想干嘛,但可以判定该程序没有被绑定第二方木马。
回复

举报

ledled
发表于 2009-3-3 00:13:01 | 显示全部楼层
名称: Packed/NSPack
类型: Sequence

描述:


文件:
c:\users\administrator\desktop\xbqqtool\xbqqtool.exe
回复

举报

lqmouse
头像被屏蔽
 楼主| 发表于 2009-3-3 00:16:05 | 显示全部楼层
原帖由 wcj20236 于 2009-3-2 23:55 发表
运行主程序,微点日志无生成物,并主程序无调用其它程序行为,只是运行密保查询有联网行为,没有下载东东,故个人暂定为基本安全。但不能说如果输入账号后有其它恶意行为。因为不了解楼主具体想干嘛,但可以判定该程 ...


谢谢ls所有的xd们,这么晚了还耐心检测我的样本和回答我的问题
我没有其它的企图,只是想用这个帮朋友查查几个qq号的密保情况,在tx的网页上查太繁琐了,呵呵

既然ls的dx跟踪到程序有联网行为并没有下载行为,是否可以进一步查看到程序具体打开的端口、对端的ip等信息呢,如果打开的是常规端口且连接对象是tx旗下的网站ip,估计就是安全的啦,因为查询密保时只用输入qq号和网页随机验证码就够了的

晕倒啊,编辑完了才发现,被狐版给插队了

[ 本帖最后由 lqmouse 于 2009-3-3 00:18 编辑 ]
回复

举报

x_3max
发表于 2009-3-3 03:39:23 | 显示全部楼层
这么多都报了,为了施主的人身安全,还是不要用了,阿弥陀佛。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-7 03:59 , Processed in 0.149295 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表