dinheiro.exe（3/41）（MD5:ca8910）

显示全部楼层 · 发表于 2010-5-24 12:08:00

上报号：b11e595a492d7cf38505f31572ca21db

样本名称：dinheiro.exe

文件MD5：ca89100c3d8930141ed77aa93e8aa6fc

鉴定结果：安全

显示全部楼层 · 发表于 2010-5-24 12:16:43

Kaspersky
Internet Security 2010
Access denied
The requested URL could not be retrieved

While trying to retrieve the URL:

http://bbs.kafan.cn/attachment.php?aid=
ODI3NTU1fGQ1MDBiZGI2fDEyNzQ2NzQ1ODN8MWU2
MkZHcUtpSzh5Nngvc0xsOENNNTV3aUZ3SDk2b3pC
bS9ubmNVLzQrSjJ3VmM%3D

The following threat was encountered:

The requested object is INFECTED with the following viruses: Trojan-Downloader.Win32.Homa.cgg
Generated:
12:17:28 PM
Kaspersky Internet Security 2010

显示全部楼层 · 发表于 2010-5-24 14:07:31

本帖最后由牧羊老汉于 2010-5-24 14:08 编辑

Path=C:\Windows\GET\
SavePath
Silent=1
Overwrite=2

就这一个动作无下文也不插入进程让微点有什 ...
change_018 发表于 2010-5-24 02:52

GET.dll呢？呵呵，你解出GET.dll的代码了吗？如果没有，就不要又是用你一贯的凭空意想的思维方式来来想事情，可以吗？

显示全部楼层 · 发表于 2010-5-24 14:16:32

卡巴报木马？
那我也上报看看吧

http://samples.nod32.com.hk/inde ... cf38505f31572ca21db

显示全部楼层 · 发表于 2010-5-24 14:16:58

本帖最后由 change_018 于 2010-5-24 14:18 编辑

回复 13# 牧羊老汉

又？一贯？凭空臆想？你太幽默了！
文件的所有动作我都监控了一遍，所以我说的是没下文动作微点才不报。
释放个dll，别的啥也不干，微点就报，说不好听了，那它还不白痴一个。
解没解出代码又怎样，解出来不解出来，不插入的单纯释放，还不报。

显示全部楼层 · 发表于 2010-5-24 14:35:01

回复牧羊老汉

又？一贯？凭空臆想？你太幽默了！
文件的所有动作我都监控了一遍，所以我说的是没下文 ...
change_018 发表于 2010-5-24 14:16

第一，看你上面的回帖，拿创建一个文件夹出来说事，根本就没看到你写出创建 get.dll
第二，这个.dll现在没动作，就等于一定没恶意？如果说，比方说，这个get.dll 必须是等你启动电脑里的某个程序时，再由其它程序来调用这个get.dll的呢？见过往往QQ目录插入一个.dll文件，你不启动QQ就什么动作也不会有，一启动QQ，这个.dll就发邮件盗号的吗？没见过？那我该说你什么呢？

显示全部楼层 · 发表于 2010-5-24 14:39:21

本帖最后由牧羊老汉于 2010-5-24 15:58 编辑

回复牧羊老汉

又？一贯？凭空臆想？你太幽默了！
文件的所有动作我都监控了一遍，所以我说的是没下文 ...
change_018 发表于 2010-5-24 14:16

需要不需要，我现在就在本版区，找出几个盗QQ的.dll，然后也做成象这个样本一模一样的自解压文件，然后你也运行一次，也是和这个样本一模一样只释放一个.dll到你QQ的目录下，然后你不启动QQ，什么动作也没有，然后来论证证个“没有下文”的自解压文件，是否有恶意的吗？

显示全部楼层 · 发表于 2010-5-24 14:46:00

回第一，非得明码标价写出来创建get.dll么，我测试一个程序还非得把日志贴出来么，我再怎么笨至少我能看明白自解压命令。
回第二，没动作当然不一定没恶意，你举那个例子不和赛博的情况一样么，往迅雷，千千里插入，不启动没事，启动感染，我说的是目前这个样本微点没报是因为它的动作对微点的分析而言还不构成威胁，至于启动其他程序会不会调用，微点会不会报，那得看里面代码怎么写了。

你爱咋说咋说吧，不管了。

显示全部楼层 · 发表于 2010-5-24 14:55:35

本帖最后由牧羊老汉于 2010-5-24 14:59 编辑

回第一，非得明码标价写出来创建get.dll么，我测试一个程序还非得把日志贴出来么，我再怎么笨至少我能看明白 ...
change_018 发表于 2010-5-24 14:46

所以说你这种人，就是不管讨论什么问题，是错了也死要狡辩，一点都没错！明明就疏忽而没看到往系统目录创建的这个get.dll ,也死要狡辩。有谁分析样本的时候，样本创建文件的分析报告，一个在系统目录里创建的.dll文件不发出来、而反而发个文件夹出来说事？被别人一说，就来了，开始狡辩了，三次讨论，三次如此！看5楼，不就因为看你发出的“只创建了一个文件夹而没有其它文件”的报告而被你误导吗？（我不敢说这个.dll就一定是病毒，但如果这个文件确实有恶意代码，因为你这样发帖，这个.dll文件人家就不会上报，究竟是否有害，就得不到论证。
照你的逻辑，那么在这里用hips分析发帖的人，分析病毒行为时，全部只发创建的文件夹，而病毒创建的.exe、.dll等等，全部省略？如果被别人说了，就拿你这话来应对？

显示全部楼层 · 发表于 2010-5-24 15:00:04

嘛嘛....

大家都心平气和一点...

不知道老汉是在哪里找到这个样本的呢？...

[病毒样本] dinheiro.exe（3/41）（MD5:ca8910）