收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 很成功的数字签名伪造 骗过comodo
12
返回列表 发新帖
楼主: webweb
 收起左侧

[病毒样本] 很成功的数字签名伪造 骗过comodo

[复制链接]
mmzz2688
发表于 2009-6-5 09:48:11 | 显示全部楼层
原帖由 dl123100 于 2009-6-5 09:42 发表
R U N D L L . E X E

版本说明是在xp系统下,xp系统下只有rundll32.exe
回复

举报

fatezero
发表于 2009-6-5 09:55:05 | 显示全部楼层
没数字签名...


[ 本帖最后由 fatezero 于 2009-6-5 10:33 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

mmzz2688
发表于 2009-6-5 09:55:21 | 显示全部楼层
不排除有木马或病毒把它作为现成的组件加以利用,所以lz的态度是值得大家称赞的,很认真。
回复

举报

deocder
发表于 2009-6-5 09:58:34 | 显示全部楼层
本帖最后由 deocder 于 2012-5-27 14:48 编辑

~
回复

举报

250662772
发表于 2009-6-5 10:04:17 | 显示全部楼层
就是系统正常的文件,和我系统文件版本,md5都一样

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

mmzz2688
发表于 2009-6-5 10:07:52 | 显示全部楼层
原帖由 deocder 于 2009-6-5 09:58 发表
1.XueTr判定rundll32.exe(文件版本:5.1.2600.5512)已经签名。

2.rundll32.exe(文件版本:5.1.2600.5512)哈希值计算结果如下:

1)MD5:A5DD94434C702493D4577E966134B303

2)SHA1:6BFAEB811189C41521 ...

恩,sp3的版本号就是5512,xueTR判断已经签名了吗?那就按照它说的吧,学习了。。。
回复

举报

chiseng
发表于 2009-6-5 10:25:42 | 显示全部楼层
XP   SP2下rundll32.exe  

应该不会错. 是系统原文件
回复

举报

bjkk988
发表于 2009-6-5 13:23:32 | 显示全部楼层
扫描结果 :  3%的杀软(1/38)报告发现病毒
时间 :  2009/06/05 13:14:55 (CST)
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间
a-squared4.0.0.32200906040132252009-06-04-
1.924
AntiVir8.2.0.1807.1.4.592009-06-04-
0.224
Arcavir20092009060416082009-06-04-
0.037
Authentium5.1.12009060416522009-06-04-
1.167
AVAST!4.7.4090604-02009-06-04-
0.005
AVG8.5.286270.12.53/21552009-06-05-
3.458
BitDefender7.81008.33373347.258122009-06-05-
3.116
CA (VET)9.0.0.14331.6.6539 2009-06-05-
6.053
ClamAV0.95.194212009-06-05-
0.029
Comodo3.912602009-06-05-
0.716
CP Secure1.1.0.7152009.06.032009-06-03-
9.952
Dr.Web4.44.0.91702009.06.052009-06-05-
4.690
F-Prot4.4.4.56200906042009-06-04-
1.161
F-Secure5.51.61002009.06.05.032009-06-05-
5.775
GData19.5617/19.353200906052009-06-05-
4.159
IkarusT3.1.01.572009.06.03.728142009-06-03-
3.076
Microsoft1.47012009.06.042009-06-04-
4.153
mks_vir2.012009.06.052009-06-05Worm.Tpx
3.130
Norman6.01.056.01.002009-06-02-
4.007
nProtect20090604.0140703762009-06-04-
5.410
Quick Heal10.002009.06.052009-06-05-
1.170
Sophos2.87.14.422009-06-05-
2.320
Sunbelt517051702009-06-04-
0.899
The Hacker6.3.4.3v003402009-06-04-
0.642
VBA323.12.10.620090604.14122009-06-04-
1.937
ViRobot200906042009.06.042009-06-04-
0.408
VirusBuster4.5.11.1010.107.2/15756862009-06-04-
1.893
卡巴斯基5.5.102009.06.052009-06-05-
0.052
安博士V32009.06.05.002009.06.052009-06-05-
0.738
安天2.0.1820090604.24980512009-06-04-
0.122
江民杀毒11.0.7062009.06.032009-06-03-
2.211
熊猫卫士9.05.012009.06.042009-06-04-
1.794
瑞星20.021.32.40.002009-06-05-
0.769
赛门铁克1.3.0.2420090604.0022009-06-04-
0.052
趋势科技8.700-10046.170.082009-06-04-
0.026
迈克菲5.3.0056362009-06-04-
3.011
金山毒霸2009.2.5.152009.6.5.72009-06-05-
0.495
飞塔2.81-3.11710.4662009-06-04-
回复

举报

webweb
 楼主| 发表于 2009-6-5 14:46:29 | 显示全部楼层
饿。。。。我错了。。。
就像13楼说的 这个文件确实是正常的

不排除有木马或病毒把它作为现成的组件加以利用
所以comodo也提示了
当时已经是晚上12点了 困倦不堪
没有仔细观察和分析 就弄了上来

抱歉。。。

[ 本帖最后由 webweb 于 2009-6-5 14:50 编辑 ]
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-9-18 04:26 , Processed in 0.092308 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表