谁能帮我查一下这个怀疑病毒？

olive · 发表于 2008-7-4 07:24:50

！！！小心！！！
！！！附件可能是病毒！！！
今天不小心下载的，图标伪装成文件夹，文件名里面许多空格，借此来隐藏exe后缀名。误以为文件夹双击，就会中招。
但是我的诺顿完全没有反应。谁能帮我查一查？

zjuser · 发表于 2008-7-4 07:36:46

我的瑞星提示有病毒：Backdoor.Win32.Gpigeon2008.t　并自动删除压缩包中病毒文件。

小松鼠 · 发表于 2008-7-4 07:39:29

Antivirus Version Last Update Result
AhnLab-V3 2008.7.4.0 2008.07.03 -
AntiVir 7.8.0.64 2008.07.03 TR/Crypt.FKM.Gen
Authentium 5.1.0.4 2008.07.03 W32/Heuristic-VFM!Eldorado
Avast 4.8.1195.0 2008.07.03 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.03 -
BitDefender 7.2 2008.07.03 -
CAT-QuickHeal 9.50 2008.07.03 -
ClamAV 0.93.1 2008.07.04 PUA.Packed.NPack-4
DrWeb 4.44.0.09170 2008.07.03 -
eSafe 7.0.17.0 2008.07.03 Suspicious File
eTrust-Vet 31.6.5922 2008.07.02 -
Ewido 4.0 2008.07.03 -
F-Prot 4.4.4.56 2008.07.03 W32/Heuristic-VFM!Eldorado
F-Secure 7.60.13501.0 2008.07.03 W32/Hupigon.gen67
Fortinet 3.14.0.0 2008.07.04 -
GData 2.0.7306.1023 2008.07.03 Win32:Trojan-gen
Ikarus T3.1.1.26.0 2008.07.03 Backdoor.Win32.Agent.ahj
Kaspersky 7.0.0.125 2008.07.04 -
McAfee 5331 2008.07.03 New Malware.dw
Microsoft 1.3704 2008.07.03 -
NOD32v2 3240 2008.07.04 -
Norman 5.80.02 2008.07.03 W32/Hupigon.gen67
Panda 9.0.0.4 2008.07.03 Suspicious file
Prevx1 V2 2008.07.04 -
Rising 20.51.32.00 2008.07.03 Backdoor.Win32.Gpigeon2008.t
Sophos 4.30.0 2008.07.04 Mal/Behav-095
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.04 -
TheHacker 6.2.96.370 2008.07.04 -
TrendMicro 8.700.0.1004 2008.07.03 -
VBA32 3.12.6.8 2008.07.03 Backdoor.Win32.Hupigon.cgbq
VirusBuster 4.5.11.0 2008.07.03 Packed/NSPack
Webwasher-Gateway 6.6.2 2008.07.04 Trojan.Crypt.FKM.Gen
Additional information
File size: 432446 bytes
MD5...: d63a4f29c04af39e59898978ea860052
SHA1..: c8edec23b90871a8742b29cfb6f2634546d8528d
SHA256: f9b451c0a82c43b0cc454d31a4ed86430218ea20ba55a918a66c37e5d43dc85a
SHA512: 67c4c03e2cdfc14c103232a8da52b71824e013931d4fd517717d96f6fc9b68bb
f5b302e999e47f9a1950fd9399345fa8e28ba7bfe41b0bddd3eef4c8b68f785b
PEiD..: -
PEInfo: -
Norman Sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: [email protected] - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 490205 bytes.

[ Changes to filesystem ]
* Creates directory C:.
* Creates directory C:\Program Files.
* Creates file C:\Program Files\__tmp_rar_sfx_access_check_511.
* Deletes file __tmp_rar_sfx_access_check_511.
* Creates file C:\Program Files\scrambled.exe.
* Creates file C:\Program Files\1.jpg.

[ Changes to registry ]
* Accesses Registry key \"HKCU\Software\WinRAR SFX\".
* Creates key \"HKCU\Software\WinRAR SFX\".
* Sets value \"C%%Program Files\"=\"C:\Program Files\" in key \"HKCU\Software\WinRAR SFX\".

[ Process/window information ]
* Creates a dialogbox with caption \"WinRAR _____\".
* Buttons found in dialogbox: id102[278,173]\"O_(&W)...\" id1[211,223]\"__\" id2[278,223]\"__\" .
* Attemps to NULL C:\Program\scrambled.exe NULL.
* Attemps to NULL scrambled.exe NULL.
* Creates process \"scrambled.exe\".

packers (Kaspersky): NSPack
packers (F-Prot): RAR, NSPack, PE_Patch
packers (Authentium): RAR, NSPack, PE_Patch

nniu · 发表于 2008-7-4 07:40:21

nod32查没毒。
Path=C:\Program Files
SavePath
Setup=scrambled.exe
Presetup=1.jpg
Silent=1
Overwrite=1

nniu · 发表于 2008-7-4 07:44:22

7.4的大蜘蛛查，也没提示是病毒。

olive · 发表于 2008-7-4 08:08:09

我的诺顿也没有反应，但是从它把文件名设置成"希尔顿集团22岁继承人帕丽斯_希尔顿SM嘿咻. .exe”，其中很多空格，这样在资源管理器里面就看不到exe后缀，另外还把图标设成文件夹，让人误以为是文件夹而双击这些行为来看，又像是病毒。
我不小心运行了，在c:\program files\下发现了两个文件: scrambled.exe，和1.jpg，就是楼上贴的那两个。

olive · 发表于 2008-7-4 08:09:09

原帖由 nniu 于 2008-7-4 07:40 发表
nod32查没毒。
Path=C:\Program Files
SavePath
Setup=scrambled.exe
Presetup=1.jpg
Silent=1
Overwrite=1

那scrambled.exe是毒吗？

blackwhite · 发表于 2008-7-4 08:28:52

安装1楼的说法，应该是灰鸽子木马，不知道用灰鸽子自己的工具查得出来，还是查不出来。
反正这个东西，肯定不是好鸟！

nniu · 发表于 2008-7-4 08:39:07

原帖由 olive 于 2008-7-4 08:09 发表

那scrambled.exe是毒吗？

大蜘蛛和NOD32都查了，没提示是毒。

星之所在 · 发表于 2008-7-4 08:48:01

看来国外的杀软不适合国内！

		自动登录	找回密码
密码			立即注册

谁能帮我查一下这个怀疑病毒？

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块