没几个查出来的 请兄弟们帮忙分析 ...

yaofo7kafan

原帖由 panda_盼盼 于 2009-5-23 06:21 发表
别人机器上抓的 又是个伪装IE的...

为什么微点不报 为什么

天璇诛仙

微点不报

kkgh

费尔  TrojanDropper.Gen.qilo

悠柚

Ikarus miss

sunshine2009

原帖由 悠柚 于 2009-5-23 12:13 发表
Ikarus miss

???不会吧，我的a-squared 免费版本 4.5都报了，F:\病毒样本\IEXPL0RE.rar/IEXPL0RE.EXE  已检测: Gen.Trojan!IK

328397663

原帖由 幸福的猪猪 于 2009-5-23 06:24 发表
kaba miss,to kill !

Hello,

IEXPL0RE.exe_

No malicious code was found in this file.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.


在 ...

上报之前.妳可以测试,,,然后再上报...附上描述..不懂英文..可以上报卡巴中国..一般工作时间都很快给予答复.

幸福的猪猪

前段时间把挂马网址上报给卡巴中国分析，得过几天才给我回信……

328397663

原帖由 幸福的猪猪 于 2009-5-23 16:30 发表
前段时间把挂马网址上报给卡巴中国分析，得过几天才给我回信……

链接妳还是上报俄方吧..24小时内回复.. 这个样本确实不是什么好东西

幸福的猪猪

那就麻烦你把这个病毒样本上报一下吧。

ximo

这个样本怎么说呢，报有报的道理，不报也有不报的理由。不过，让我来决定的话，我会入库！
简单分析下我说上面这句话的原因吧：
先说该样本的行为：
1.调用正常的IE
2.创建互斥体
3.把文件C:\Program Files\Common Files\cpa.exe复制到C:\Program Files\Common Files\microsoft shared\cpa.exe
4.运行C:\Program Files\Common Files\microsoft shared\cpa.exe
5.结束程序

诊断这个样本是黑是白的关键是那个文件cpa.exe.
也就是说，若你电脑上无这个cpa.exe，该样本根本就没有危害性。
就算有这个文件，只要该文件是正常的，该样本同样是正常的，无危害的。
这也是好多厂商不报他为病毒的原因吧。
不过，从行为和代码上来看，以及平时的经验来看，该样本的确非常像坏人。该样本的行为也符合一般的木马行为，所以，有的厂商会报，也是能理解的。
不过，让我决定的话，我会选择入库，毕竟有潜在的危险。
总结：有的样本在特定的环境下才能发挥他的作用，在无该环境的情况下，样本是完全无害的。

如果非得给他定个性，麻烦你上传我说的那个cpa.exe文件。

[ 本帖最后由 ximo 于 2009-5-23 17:08 编辑 ]