收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 这个EXE文件是个照片的图标,有40多M,但是压缩后只有10 ...
123456下一页
返回列表 发新帖
查看: 8052|回复: 52
收起左侧

[病毒样本] 这个EXE文件是个照片的图标,有40多M,但是压缩后只有100多K,ESET没反应

  [复制链接]
woxinfeiyi
发表于 2011-4-22 17:45:16 | 显示全部楼层 |阅读模式
本帖最后由 woxinfeiyi 于 2011-4-22 17:48 编辑

这个EXE文件是个照片的图标,有40多M,但是压缩后只有100多K,ESET没反应,金山也没反应,但是双击之后我就中招了,不知道是什么原因,用金山卫士查出来好几个木马。大神们帮忙分析下吧。VirSCAN.org Scanned Report :
Scanned time   : 2011/04/22 17:40:28 (CST)
Scanner results: 3%的杀软(1/37)报告发现病毒
File Name      : winamp.rar
File Size      : 146262 byte
File Type      : RAR archive data, v1d, os
MD5            : dcf95cc563ffc6ec082787c1f5d67056
SHA1           : a405564e96d30ec34921981b0b2664ca009e165f
Online report  : http://virscan.org/report/dcb37ba6f60cbfb84c593dc20e8442d8.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      5.1.0.2         20110422015551    2011-04-22  7.74   -
安博士V3       2011.04.21.01   2011.04.21        2011-04-21  10.20  -
AntiVir        8.2.4.214       7.11.6.235        2011-04-22  0.29   -
安天           2.0.18          20110205.7694535  2011-02-05  0.12   -
Arcavir        2011            201103241627      2011-03-24  0.08   -
Authentium     5.1.1           201104212222      2011-04-21  1.99   -
AVAST!         4.7.4           110422-0          2011-04-22  1.41   -
AVG            8.5.850         271.1.1/3589      2011-04-22  2.15   -
BitDefender    7.90123.7144905 7.37192           2011-04-22  7.01   -
ClamAV         0.96.5          13003             2011-04-21  0.01   -
Comodo         4.0             8431              2011-04-22  2.53   TrojWare.Win32.Magania.~all
CP Secure      1.3.0.5         2011.04.22        2011-04-22  2.06   -
Dr.Web         5.0.2.3300      2011.04.22        2011-04-22  18.98  -
F-Prot         4.4.4.56        20110420          2011-04-20  2.10   -
F-Secure       7.02.73807      2011.04.22.02     2011-04-22  1.40   -
飞塔           4.2.257         13.136            2011-04-21  0.91   -
GData          22.140/22.52    20110422          2011-04-22  11.43  -
ViRobot        20110421        2011.04.21        2011-04-21  0.55   -
Ikarus         T3.1.32.20.0    2011.04.22.78222  2011-04-22  5.19   -
江民杀毒       13.0.900        2011.04.21        2011-04-21  2.74   -
卡巴斯基       5.5.10          2011.04.22        2011-04-22  0.17   -
金山毒霸       2009.2.5.15     2011.4.22.9       2011-04-22  0.79   -
迈克菲         5400.1158       6320              2011-04-18  8.89   -
Microsoft      1.6802          2011.04.22        2011-04-22  40.09  -
NOD32          3.0.21          6061              2011-04-21  0.02   -
Norman         6.07.08         6.07.00           2011-04-21  10.03  -
熊猫卫士       9.05.01         2011.04.21        2011-04-21  2.42   -
趋势科技       9.200-1012      8.112.03          2011-04-22  0.07   -
Quick Heal     11.00           2011.04.21        2011-04-21  9.77   -
瑞星           20.0            23.54.03.06       2011-04-21  4.45   -
Sophos         3.18.0          4.64              2011-04-22  3.69   -
Sunbelt        3.9.2490.2      9082              2011-04-21  30.99  -
赛门铁克       1.3.0.24        20110421.002      2011-04-21  78.97  -
nProtect       20110422.01     3390140           2011-04-22  8.68   -
The Hacker     6.7.0.1         v00176            2011-04-18  0.87   -
VBA32          3.12.16.0       20110421.2047     2011-04-21  4.51   -
VirusBuster    5.2.0.28        13.6.315.0/50124142011-04-21  0.00   -





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

咆哮的蜗牛
发表于 2011-4-22 17:47:06 | 显示全部楼层
360网盾KILL。360杀毒正式版扫描未报。神马情况
回复

举报

woxinfeiyi
 楼主| 发表于 2011-4-22 17:48:06 | 显示全部楼层
回复 2楼 咆哮的蜗牛 的帖子

就是啊 ,扫描不报 ESET也不报 金山也不报
回复

举报

咆哮的蜗牛
发表于 2011-4-22 17:49:04 | 显示全部楼层
回复 3楼 woxinfeiyi 的帖子

360网盾报了。ESET、金山未报应该未识别。
回复

举报

woxinfeiyi
 楼主| 发表于 2011-4-22 17:50:16 | 显示全部楼层
回复 4楼 咆哮的蜗牛 的帖子

但是360扫描没报,这是什么原因呢
回复

举报

留侯
发表于 2011-4-22 17:52:35 | 显示全部楼层
解压之后39.1M,过度压缩,可能会报告压缩炸弹或者是解压缩炸弹,大蜘蛛clean,已上报!
回复

举报

wmcxdb
发表于 2011-4-22 17:54:19 | 显示全部楼层
本帖最后由 wmcxdb 于 2011-4-22 17:55 编辑

2011-4-22 17:50:40    删除文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\MSBuild\Manage.cpl
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件]c:\program files\msbuild; manage.cpl

2011-4-22 17:50:40    删除文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\NamiRobot\ResChs.dll
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件]c:\program files\namirobot; reschs.dll

2011-4-22 17:50:40    创建文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\kb-5222671.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:40    修改文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\kb-5222671.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:40    创建文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\MSBuild\Manage.cpl
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件]c:\program files\msbuild; manage.cpl

2011-4-22 17:50:41    创建文件    阻止
进程: f:\下载\winamp\winamp.exe
目标: C:\WINDOWS\system32\WinX86.log
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-22 17:50:41    创建文件    阻止
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\MSBuild\RCX16.tmp
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\program files\*

2011-4-22 17:50:41    创建文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\RCX17.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:41    修改文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\RCX17.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:41    删除文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\MSBuild\Manage.cpl
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件]c:\program files\msbuild; manage.cpl

2011-4-22 17:50:41    修改文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\RCX17.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:41    创建文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\MSBuild\Manage.cpl
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件]c:\program files\msbuild; manage.cpl

2011-4-22 17:50:41    创建文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\kb-5223750.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:41    修改文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\kb-5223750.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:41    创建文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\NamiRobot\ResChs.dll
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件]c:\program files\namirobot; reschs.dll

2011-4-22 17:50:42    创建文件    阻止
进程: f:\下载\winamp\winamp.exe
目标: C:\WINDOWS\system32\WinX86.log
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]c:\windows\system32\*

2011-4-22 17:50:42    创建文件    阻止
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\NamiRobot\RCX18.tmp
规则: [应用程序组]●研磨 -> [文件组]文件保护 -> [文件]?:\program files\*

2011-4-22 17:50:42    创建文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\RCX19.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:42    修改文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\RCX19.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:43    删除文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\NamiRobot\ResChs.dll
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件]c:\program files\namirobot; reschs.dll

2011-4-22 17:50:43    修改文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Documents and Settings\d\Local Settings\Temp\RCX19.tmp
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件组]允许文件 -> [文件]?:\*\local*\temp\*

2011-4-22 17:50:43    创建文件    允许
进程: f:\下载\winamp\winamp.exe
目标: C:\Program Files\NamiRobot\ResChs.dll
规则: [应用程序组]●研磨 -> [应用程序]f:\下载\winamp\winamp.exe -> [文件]c:\program files\namirobot; reschs.dll

2011-4-22 17:50:43    创建新进程    阻止
进程: f:\下载\winamp\winamp.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\windows\system32\rundll32.exe C:\PROGRA~1\NAMIRO~1\ResChs.dll comdl2
规则: [应用程序组]●研磨

2011-4-22 17:50:43    创建新进程    阻止
进程: f:\下载\winamp\winamp.exe
目标: c:\windows\system32\net.exe
命令行: net.exe stop w32time
规则: [应用程序组]●研磨

2011-4-22 17:50:44    创建新进程    阻止
进程: f:\下载\winamp\winamp.exe
目标: c:\windows\system32\sc.exe
命令行: sc config w32time start= auto
规则: [应用程序组]●研磨

2011-4-22 17:50:44    创建注册表项    阻止
进程: f:\下载\winamp\winamp.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\xyz
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services*

2011-4-22 17:50:44    创建注册表项    阻止
进程: f:\下载\winamp\winamp.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\xyz
规则: [应用程序组]●研磨 -> [注册表组]注册表保护 -> [注册表]*\System\*ControlSet*\Services*

2011-4-22 17:50:46    创建新进程    阻止
进程: f:\下载\winamp\winamp.exe
目标: c:\windows\system32\net.exe
命令行: net.exe start w32time
规则: [应用程序组]●研磨

回复

举报

woxinfeiyi
 楼主| 发表于 2011-4-22 17:57:54 | 显示全部楼层
回复 7楼 wmcxdb 的帖子

神马意思 ,看不懂啊
回复

举报

荷韵诗
发表于 2011-4-22 17:59:23 | 显示全部楼层
微点防火墙提示
回复

举报

一晴空
发表于 2011-4-22 18:00:38 | 显示全部楼层
回复 8楼 woxinfeiyi 的帖子

HIPS行为分析报告
回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-14 13:14 , Processed in 0.140200 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表