瑞星卡卡安全论坛

首页 » 技术交流区 » 可疑文件交流 » 再来一枚误报
RuiSing小宇 - 2015-5-12 11:16:00
再来一枚可好?:kaka8:
文件:

 附件: 您所在的用户组无法下载或查看附件

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET4.0E)
瑞星工程师20 - 2015-5-12 11:26:00
样本已经收集。
RuiSing小宇 - 2015-5-13 12:27:00
What?~!是病毒  !!!
哪个文件啊,您给我提下,我这看不到文件名称!:kaka7:
RuiSing小宇 - 2015-5-13 13:15:00


引用:
原帖由 瑞星工程师20 于 2015-5-13 13:01:00 发表
setup.exe是病毒。

我的天。。
就是这个文件,杀了一遍一遍,永久的杀。难不成我中招了?~!:kaka6:
RuiSing小宇 - 2015-5-13 13:25:00


引用:
原帖由 瑞星工程师20 于 2015-5-13 13:01:00 发表
setup.exe是病毒。

确定是病毒吗?

 附件: 您所在的用户组无法下载或查看附件
Visual Basic6.0的安装工具啊。
难道不是原版?或者被病毒感染?
哈勃文件分析系统报告没有危害啊!
http://habo.qq.com/file/showdetail?md5=8a5beb16c15f696c2a97769f25bcf217&pk=ADYGYV1oB2MIPw==
基本信息关键行为文件行为其他行为运行截图基本信息
文件名称:setup.exe
MD5:8a5beb16c15f696c2a97769f25bcf217
文件类型:EXE
上传时间:2015-05-13 13:19:23
出品公司:Microsoft Corporation
版本:6.0.84.50---6.00.8450
壳或编译器信息:COMPILER:Microsoft Visual C++ 5.0


关键行为
行为描述:写权限映射文件
详情信息:CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.EOJ..FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.B.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.C.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.D.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.E.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.F.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.G.FFGFF


文件行为
行为描述:写权限映射文件
详情信息:CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.MarshalInterface.FileMap.EOJ..FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.B.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.C.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.D.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.E.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.F.FFGFF
MSCTF.MarshalInterface.FileMap.EOJ.G.FFGFF
行为描述:修改文件内容
详情信息:C:\WINDOWS\ST6UNST.000---> Offset = 0
C:\WINDOWS\ST6UNST.000---> Offset = 166
C:\WINDOWS\ST6UNST.000---> Offset = 168


其他行为
行为描述:创建互斥体
详情信息:CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.xxx.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.AEH
行为描述:查找指定窗口
详情信息:NtUserFindWindowEx: [Class,Window] = [GVBSetupInit,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
行为描述:窗口信息
详情信息:Pid = 2528, Hwnd=0x10356, Text = 确定, ClassName = Button.
Pid = 2528, Hwnd=0x1035a, Text = 安装程序不能找到 "c:\monitor\sample.LST"。安装中止..., ClassName = Static.
Pid = 2528, Hwnd=0x10354, Text = 错误, ClassName = #32770.
Pid = 2528, Hwnd=0x1034c, Text = 设置, ClassName = GVBSetupInit.

 附件: 您所在的用户组无法下载或查看附件

附件: 002.jpg

附件: 003.jpg
瑞星工程师20 - 2015-5-13 14:33:00
文件不是病毒,瑞星最新版本已经不报毒。
RuiSing小宇 - 2015-5-13 15:45:00


引用:
原帖由 瑞星工程师20 于 2015-5-13 14:33:00 发表
文件不是病毒,瑞星最新版本已经不报毒。

一会是病毒,一会又不是病毒。
差评!:kaka10:
1
查看完整版本: 再来一枚误报
© 2000 - 2025 Rising Corp. Ltd.