红伞、瑞星、金山、百锐表示安全，卡巴、NOD32等表示木马！对病毒判断标准分歧较大！

langzi2009

     提交人工鉴定后中外各个杀毒厂商争议较大：但此文件本身不存在恶意行为，只是容易被利用，就像个漏洞。

        瑞星第一次认为木马，第二次提交人工鉴定：安全文件！

       国产：360、瑞星、江民、金山、百锐认为安全！
       外国：小红伞认为安全。

                    卡巴、NOD32认为不安全。

rasis

我们收到了以下存档文件:

文件 ID          文件名         大小(字节)         结果
25606821          wupdmgr.rar         4.11 KB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID          文件名         大小(字节)         结果
3608996          wupdmgr.exe          8.5 KB          CLEAN


下面提供了与每个样本相关的详细报告:
文件名         结果
wupdmgr.exe          CLEAN

已确定“wupdmgr.exe”文件是“CLEAN”。 我们的分析人员未发现任何恶意内容。

rasis

File Info
Name        Value
Size        8704
MD5        82f49e409984d5a855c1a5399fca70d2
SHA1        29495d4033177d56aed8d05b48e4a67fc2a08dd5
SHA256        017463163d98f8c5166cbcf04493708ad210bb09bc567ede8c22e5a899231b45
Process        Active
• Keys Created
• Keys Changed
• Keys Deleted
• Values Created
• Values Changed
• Values Deleted
• Directories Created
• Directories Changed
• Directories Deleted
• Files Created
• Files Changed
• Files Deleted
• Directories Hidden
• Files Hidden
• Drivers Loaded
• Drivers Unloaded
• Processes Created
PId        Process Name        Image Name
0x4f4        IEXPLORE.EXE        C:\Program Files\Internet Explorer\iexplore.exe
• Processes Terminated
• Threads Created
PId        Process Name        TId        Start        Start Mem        Win32 Start        Win32 Start Mem
0x348        svchost.exe        0xf8        0x7c810856        MEM_IMAGE        0x7c910760        MEM_IMAGE
0x3f4        svchost.exe        0x724        0x7c810856        MEM_IMAGE        0x77e76bf0        MEM_IMAGE
0x4f4        IEXPLORE.EXE        0x384        0x7c810867        MEM_IMAGE        0x402451        MEM_IMAGE
• Modules Loaded
• Windows Api Calls
• DNS Queries
DNS Query Text
windowsupdate.microsoft.com IN A +
• HTTP Queries
HTTP Query Text
windowsupdate.microsoft.com GET / HTTP/1.1
• Verdict
Auto Analysis Verdict
Undetected
• Mutexes Created or Opened
PId        Image Name        Address        Mutex Name
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x76ee3a34        RasPbFile
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x771ba3ae        _!MSFTHISTORY!_
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x771bc21c        WininetConnectionMutex
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x771bc23d        WininetProxyRegistryMutex
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x771bc2dd        WininetStartupMutex
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x771d9710        c:!documents and settings!user!cookies!
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x771d9710        c:!documents and settings!user!local settings!history!history.ie5!
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x771d9710        c:!documents and settings!user!local settings!history!history.ie5!mshist012009011220090113!
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x771d9710        c:!documents and settings!user!local settings!temporary internet files!content.ie5!
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x77783c9e        _!SHMSFTHISTORY!_
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x777904d3        WininetStartupMutex
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x77f76e78        Shell.CMruPidlList
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x7c81a838        ShimCacheMutex
• Events Created or Opened
PId        Image Name        Address        Event Name
0x378        C:\WINDOWS\system32\sc.exe        0x77de5f48        Global\SvcctrlStartEvent_A3752DX
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x769c4ec2        Global\userenv: User Profile setup event
0x4f4        C:\Program Files\Internet Explorer\iexplore.exe        0x77de5f48        Global\SvcctrlStartEvent_A3752DX
0x67c        C:\WINDOWS\system32\sc.exe        0x77de5f48        Global\SvcctrlStartEvent_A3752DX

langzi2009

rasis 发表于 2010.10.12 10:19
我们收到了以下存档文件:

文件 ID          文件名         大小(字节)         结果

好快哦！！看来是NOD32误报了。

瓜皮猫

File name: wupdmgr.exe
Submission date: 2010-10-12 02:32:05 (UTC)
Current status: queued queued (#5) analysing finished


Result: 37/ 43 (86.0%)
VT Community

not reviewed
Safety score: -  
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.10.12.00 2010.10.11 Win-Trojan/Agent.8704.AAL
AntiVir 7.10.12.184 2010.10.11 -
Antiy-AVL 2.0.3.7 2010.10.12 Trojan/Win32.MicroFake.gen
Authentium 5.2.0.5 2010.10.11 W32/MalwareF.BFRF
Avast 4.8.1351.0 2010.10.11 Win32:Malware-gen
Avast5 5.0.594.0 2010.10.11 Win32:Malware-gen
AVG 9.0.0.851 2010.10.11 Generic16.APRV
BitDefender 7.2 2010.10.12 Application.DisableWUpdate.A
CAT-QuickHeal 11.00 2010.10.11 Trojan.MicroFake.p
ClamAV 0.96.2.0-git 2010.10.12 -
Comodo 6358 2010.10.12 TrojWare.Win32.Trojan.MicroFake.~A
DrWeb 5.0.2.03300 2010.10.12 Trojan.Siggen1.5581
Emsisoft 5.0.0.50 2010.10.12 Trojan.Win32.MicroFake!IK
eSafe 7.0.17.0 2010.10.11 Win32.Downloader
eTrust-Vet 36.1.7905 2010.10.11 Win32/Skipwuser.A
F-Prot 4.6.2.117 2010.10.11 W32/MalwareF.BFRF
F-Secure 9.0.15370.0 2010.10.12 Application.DisableWUpdate.A
Fortinet 4.2.249.0 2010.10.11 -
GData 21 2010.10.12 Application.DisableWUpdate.A
Ikarus T3.1.1.90.0 2010.10.12 Trojan.Win32.MicroFake
Jiangmin 13.0.900 2010.10.11 -
K7AntiVirus 9.65.2724 2010.10.11 Trojan
Kaspersky 7.0.0.125 2010.10.12 Trojan.Win32.MicroFake.p
McAfee 5.400.0.1158 2010.10.12 Generic FakeAlert!eo
McAfee-GW-Edition 2010.1C 2010.10.11 Generic FakeAlert!eo
Microsoft 1.6201 2010.10.11 SettingsModifier:Win32/Skipwuser.A
NOD32 5522 2010.10.12 Win32/Small.NAQ
Norman 6.06.07 2010.10.11 W32/Suspicious_Gen2.AMCQC
nProtect 2010-10-11.01 2010.10.11 Trojan/W32.Agent.8704.OM
Panda 10.0.2.7 2010.10.12 Trj/CI.A
PCTools 7.0.3.5 2010.10.12 Trojan.BAT-Netstop
Prevx 3.0 2010.10.12 -
Rising 22.69.00.04 2010.10.12 Packer.Win32.Agent.bk
Sophos 4.58.0 2010.10.12 Mal/Generic-A
Sunbelt 7040 2010.10.12 Trojan.Win32.Generic!BT
SUPERAntiSpyware 4.40.0.1006 2010.10.12 -
Symantec 20101.2.0.161 2010.10.11 BAT.Netstop.Trojan
TheHacker 6.7.0.1.055 2010.10.12 Trojan/MicroFake.p
TrendMicro 9.120.0.1004 2010.10.11 TROJ_FAKEM.VTG
TrendMicro-HouseCall 9.120.0.1004 2010.10.12 TROJ_FAKEM.VTG
VBA32 3.12.14.1 2010.10.11 Trojan.Win32.MicroFake.p
ViRobot 2010.10.4.4074 2010.10.12 Trojan.Win32.MicroFake.8704
VirusBuster 12.67.13.0 2010.10.11 Trojan.MicroFake.L
http://www.virustotal.com/file-scan/report.html?id=017463163d98f8c5166cbcf04493708ad210bb09bc567ede8c22e5a899231b45-1286850725
在线沙盘确实没什么
http://camas.comodo.com/cgi-bin/submit?file=017463163d98f8c5166cbcf04493708ad210bb09bc567ede8c22e5a899231b45

tong0527

误报 我的也给删了 擦

pandor

确实有问题：

瓜皮猫

eset 认为是病毒
http://samples.nod32.com.hk/inde ... 5a855c1a5399fca70d2
VT上扫面86%认为是病毒

rasis

在线沙盘里面没啥动作 链接网络也是微软升级地址

langzi2009

晕  居然86%的杀软都认为是病毒，有没有人再次上报其他杀软公司啊？人工分析一下吧！这个是微软的升级exe只是给改了一下，加个壳、体积的变大或者缩小都可能引起误报。。。