是否是小a误报

greatcxh

今天用小a扫描计算机后，发现了小a对VistaUser.exe报毒，之前均未发生过小a对此档案报毒，是否是误报呢？
小a是4.8.1356，病毒库是10月11日的







到VirusTotal扫描的报告


檔案 206BB735EFE90DCB9F6504E949FB8900B9689FE4.exe 接收於 2009.09.04 18:26:43 (UTC)
當前狀態: 完成
結果: 4/41 (9.76%)

格式化文字
列印結果

反病毒引擎	版本	最後更新	掃瞄結果
a-squared	4.5.0.24	2009.09.04	Backdoor.Generic!IK
AhnLab-V3	5.0.0.2	2009.09.04	-
AntiVir	7.9.1.8	2009.09.04	-
Antiy-AVL	2.0.3.7	2009.09.04	-
Authentium	5.1.2.4	2009.09.04	-
Avast	4.8.1351.0	2009.09.04	-
AVG	8.5.0.409	2009.09.04	-
BitDefender	7.2	2009.09.04	-
CAT-QuickHeal	10.00	2009.09.04	-
ClamAV	0.94.1	2009.09.04	-
Comodo	2196	2009.09.04	-
DrWeb	5.0.0.12182	2009.09.04	-
eSafe	7.0.17.0	2009.09.03	Suspicious File
eTrust-Vet	31.6.6720	2009.09.04	-
F-Prot	4.5.1.85	2009.09.04	-
F-Secure	8.0.14470.0	2009.09.04	-
Fortinet	3.120.0.0	2009.09.04	-
GData	19	2009.09.04	-
Ikarus	T3.1.1.72.0	2009.09.04	Backdoor.Generic
Jiangmin	11.0.800	2009.09.04	-
K7AntiVirus	7.10.836	2009.09.04	-
Kaspersky	7.0.0.125	2009.09.04	-
McAfee	5731	2009.09.04	-
McAfee+Artemis	5731	2009.09.04	-
McAfee-GW-Edition	6.8.5	2009.09.04	-
Microsoft	1.5005	2009.09.04	-
NOD32	4396	2009.09.04	-
Norman	6.01.09	2009.09.04	-
nProtect	2009.1.8.0	2009.09.04	-
Panda	10.0.2.2	2009.09.04	-
PCTools	4.4.2.0	2009.09.04	-
Prevx	3.0	2009.09.04	-
Rising	21.45.14.00	2009.09.01	-
Sophos	4.45.0	2009.09.04	-
Sunbelt	3.2.1858.2	2009.09.03	Trojan.Win32.Generic!BT
Symantec	1.4.4.12	2009.09.04	-
TheHacker	6.3.4.3.396	2009.09.04	-
TrendMicro	8.950.0.1094	2009.09.04	-
VBA32	3.12.10.10	2009.09.03	-
ViRobot	2009.9.4.1919	2009.09.04	-
VirusBuster	4.6.5.0	2009.09.04	-

附加訊息

File size: 303087 bytes

MD5   : 0b79d27d3826d2d08a74538dc1d3cdcf

SHA1  : 3bada40b94a97928b5acd78415d3bf0029b26700

SHA256: 6806ee4d3e529661c23a04b8b88356f5b87e71b23f77ab7351a65b52ad0f0499

PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xA91D0 timedatestamp.....: 0x4951FA17 (Wed Dec 24 10:00:07 2008) machinetype.......: 0x14C (Intel I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x69000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x6A000 0x40000 0x3F400 7.93 ad9e7071437113bc340d393341b8c4f2 .rsrc 0xAA000 0x2000 0x1400 4.46 cdc33b2b5cf714dda52cd72df3ff1cb4 ( 16 imports ) > advapi32.dll: AddAce > comctl32.dll: ImageList_Remove > comdlg32.dll: GetSaveFileNameW > gdi32.dll: BitBlt > kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > mpr.dll: WNetGetConnectionW > ole32.dll: CoInitialize > oleaut32.dll: - > psapi.dll: EnumProcesses > shell32.dll: DragFinish > user32.dll: GetDC > userenv.dll: LoadUserProfileW > version.dll: VerQueryValueW > wininet.dll: FtpOpenFileW > winmm.dll: timeGetTime > wsock32.dll: - ( 0 exports )

TrID  : File type identification UPX compressed Win32 Executable (43.8%) Win32 EXE Yoda's Crypter (38.1%) Win32 Executable Generic (12.2%) Generic Win/DOS Executable (2.8%) DOS Executable Generic (2.8%)

ssdeep: 6144:HlZ/zUMu4pDSxsCMRzf7x3SfS1JAzXBtL76l/MP/qiQ:HHLUMuiv9RgfSjAzRtym/jQ

PEiD  : -

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

RDS   : NSRL Reference Data Set -

注意: VirusTotal 是 Hispasec Sistemas 提供的免費服務. 我們不保證任何該服務的可用性和持續性. 儘管使用多種反病毒引擎所提供的偵測率優於使用單一產品, 但這些結果並不保證檔案無害. 目前來說, 沒有任何一種解決方案可以提供 100% 的病毒和惡意軟體偵測率. 如果您購買了一款聲稱具有此能力的產品, 那麼您可能已經成為受害者.





果真是误报~
病毒库：10月12日




[ 本帖最后由 greatcxh 于 2009-10-13 07:01 编辑 ]

FlosMume

为何不单击”立即重新分析文件“呢？你的报告显示VT用的还是9月4号的病毒库啊！

锐行天下

类似后门程序，估计是误报

greatcxh

檔案 VistaUser.exe 接收於 2009.10.12 13:00:47 (UTC)
當前狀態: 正在讀取 ... 隊列中 等待中 掃瞄中 完成 未發現 停止


結果: 3/41 (7.32%)
正在讀取服務器訊息中...
您的檔案所排隊列位置: 4.
預計開始時間為 70 和 100 秒之間.
掃瞄完成前請勿關閉窗口.
目前針對您的檔案所進行的掃瞄進程已停止, 我們將會在稍後恢復.
如果您的等候時間超過 5 分鐘, 請重新發送檔案.
您的檔案目前正在被 VirusTotal 掃瞄中,
結果將會稍後完成時生成.
格式化文字 列印結果  
您的文件已過期或不存在.
目前服務已停止, 您的檔案將會稍後的未知時間內進行掃瞄 (位置: ).

您可以繼續等待回應 (自動重新整理) 或者在下面的表單內輸入您的電子郵件地址, 並按下 "獲取", 當掃瞄完成時, 系統會自動給您發送電子郵件通知.
Email:  
  

反病毒引擎 版本 最後更新 掃瞄結果
a-squared 4.5.0.41 2009.10.12 -
AhnLab-V3 5.0.0.2 2009.10.12 -
AntiVir 7.9.1.35 2009.10.12 -
Antiy-AVL 2.0.3.7 2009.10.12 -
Authentium 5.1.2.4 2009.10.12 -
Avast 4.8.1351.0 2009.10.11 Win32:Malware-gen
AVG 8.5.0.420 2009.10.12 -
BitDefender 7.2 2009.10.12 -
CAT-QuickHeal 10.00 2009.10.12 -
ClamAV 0.94.1 2009.10.12 -
Comodo 2584 2009.10.12 -
DrWeb 5.0.0.12182 2009.10.12 -
eSafe 7.0.17.0 2009.10.08 Suspicious File
eTrust-Vet 35.1.7063 2009.10.12 -
F-Prot 4.5.1.85 2009.10.12 -
F-Secure 8.0.14470.0 2009.10.12 -
Fortinet 3.120.0.0 2009.10.12 -
GData 19 2009.10.12 Win32:Malware-gen
Ikarus T3.1.1.72.0 2009.10.12 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.867 2009.10.10 -
Kaspersky 7.0.0.125 2009.10.12 -
McAfee 5768 2009.10.11 -
McAfee+Artemis 5768 2009.10.11 -
McAfee-GW-Edition 6.8.5 2009.10.12 -
Microsoft 1.5101 2009.10.12 -
NOD32 4500 2009.10.12 -
Norman 6.01.09 2009.10.12 -
nProtect 2009.1.8.0 2009.10.12 -
Panda 10.0.2.2 2009.10.12 -
PCTools 4.4.2.0 2009.10.11 -
Prevx 3.0 2009.10.12 -
Rising 21.51.04.00 2009.10.12 -
Sophos 4.45.0 2009.10.12 -
Sunbelt 3.2.1858.2 2009.10.11 -
Symantec 1.4.4.12 2009.10.12 -
TheHacker 6.5.0.2.039 2009.10.12 -
TrendMicro 8.950.0.1094 2009.10.12 -
VBA32 3.12.10.11 2009.10.11 -
ViRobot 2009.10.12.1980 2009.10.12 -
VirusBuster 4.6.5.0 2009.10.11 -
附加訊息
File size: 303087 bytes
MD5...: 0b79d27d3826d2d08a74538dc1d3cdcf
SHA1..: 3bada40b94a97928b5acd78415d3bf0029b26700
SHA256: 6806ee4d3e529661c23a04b8b88356f5b87e71b23f77ab7351a65b52ad0f0499
ssdeep: 6144:HlZ/zUMu4pDSxsCMRzf7x3SfS1JAzXBtL76l/MP/qiQ:HHLUMuiv9RgfSjA
zRtym/jQ

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa91d0
timedatestamp.....: 0x4951fa17 (Wed Dec 24 09:00:07 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x69000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6a000 0x40000 0x3f400 7.93 ad9e7071437113bc340d393341b8c4f2
.rsrc 0xaa000 0x2000 0x1400 4.46 cdc33b2b5cf714dda52cd72df3ff1cb4

( 16 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: AddAce
> COMCTL32.dll: ImageList_Remove
> COMDLG32.dll: GetSaveFileNameW
> GDI32.dll: BitBlt
> MPR.dll: WNetGetConnectionW
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> PSAPI.DLL: EnumProcesses
> SHELL32.dll: DragFinish
> USER32.dll: GetDC
> USERENV.dll: LoadUserProfileW
> VERSION.dll: VerQueryValueW
> WININET.dll: FtpOpenFileW
> WINMM.dll: timeGetTime
> WSOCK32.dll: -

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=0b79d27d3826d2d08a74538dc1d3cdcf' target='_blank'>http://www.threatexpert.com/report.aspx?md5=0b79d27d3826d2d08a74538dc1d3cdcf</a>
trid..: UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
packers (Kaspersky): PE_Patch.UPX, UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..:
original name: n/a
internal name: n/a
file version.: 3, 3, 0, 0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

packers (F-Prot): UPX


注意: VirusTotal 是 Hispasec Sistemas 提供的免費服務. 我們不保證任何該服務的可用性和持續性. 儘管使用多種反病毒引擎所提供的偵測率優於使用單一產品, 但這些結果並不保證檔案無害. 目前來說, 沒有任何一種解決方案可以提供 100% 的病毒和惡意軟體偵測率. 如果您購買了一款聲稱具有此能力的產品, 那麼您可能已經成為受害者.

FlosMume

其实是只有两家报，GDATA有一个引擎是小a

小a用的基因码，eSafe报的是可疑文件，应该是误报了。

关9军

误报吧，今天没有报了

FlosMume

人家说的不是搜狗拼音哈

greatcxh

小a现在还在报，希望明天能ok
谢谢大家不吝提供意见，让我受益良多，非常感谢。