以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

瑞星卡卡安全论坛技术交流区 可疑文件交流以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2008-09-07 15:21 | 只看楼主 短消息资料

字号：小中大 1楼

以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

解压密码：virus

文件说明符 : C:\WINDOWS\system32\ctfmon.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2002-10-7 12:0:0
修改时间 : 2008-9-5 15:31:58
大小 : 368640 字节 360.0 KB
MD5 : c338ff709aa7d081514d9a3c4bfe9c58
SHA1: 12E2502A7061278F9684B4212C47C7B3C14C387D
CRC32: 1d6b1689

文件说明符 : C:\Documents and Settings\ctfmen.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : download_progress
公司名称 : Cutting Edge Custom Software
内部名称 : mxi22
源文件名 : mxi22.exe
创建时间 : 2008-8-19 17:39:39
修改时间 : 2008-8-20 16:45:28
大小 : 18549 字节 18.117 KB
MD5 : b901943fd5ac10087c0ba9c344398154
SHA1: 63D5587C6E8DF217D9E5C360A957CE2347B36214
CRC32: 003c85ee

件 ctfmon.exe 接收于 2008.09.07 09:11:48 (CET)

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.9.6.0	2008.09.06	-
AntiVir	7.8.1.28	2008.09.05	TR/PSW.Online.aklp
Authentium	5.1.0.4	2008.09.06	W32/Heuristic-210!Eldorado
Avast	4.8.1195.0	2008.09.06	Win32:Agent-ZRP
AVG	8.0.0.161	2008.09.07	PSW.OnlineGames.P
BitDefender	7.2	2008.09.07	Generic.Malware.Yd!.4652BC92
CAT-QuickHeal	9.50	2008.09.06	TrojanPSW.OnLineGames.es
ClamAV	0.93.1	2008.09.07	Trojan.Spy-51273
DrWeb	4.44.0.09170	2008.09.06	-
eSafe	7.0.17.0	2008.09.03	Suspicious File
eTrust-Vet	31.6.6072	2008.09.05	-
Ewido	4.0	2008.09.06	-
F-Prot	4.4.4.56	2008.09.06	W32/Heuristic-210!Eldorado
F-Secure	8.0.14332.0	2008.09.07	Trojan.Win32.KillAV.alu
Fortinet	3.112.0.0	2008.09.07	-
GData	19	2008.09.07	Trojan.Win32.KillAV.alu
Ikarus	T3.1.1.34.0	2008.09.07	Trojan-Downloader.Win32.Zlob.and
K7AntiVirus	7.10.443	2008.09.05	-
Kaspersky	7.0.0.125	2008.09.07	Trojan.Win32.KillAV.alu
McAfee	5378	2008.09.05	New Malware.aj
Microsoft	1.3903	2008.09.07	-
NOD32v2	3423	2008.09.06	-
Norman	5.80.02	2008.09.05	W32/Packed_Upack.A
Panda	9.0.0.4	2008.09.06	Suspicious file
PCTools	4.4.2.0	2008.09.06	Packed/Upack
Prevx1	V2	2008.09.07	-
Rising	20.60.61.00	2008.09.07	-
Sophos	4.33.0	2008.09.07	Sus/ComPack-K
Sunbelt	3.1.1610.1	2008.09.05	VIPRE.Suspicious
Symantec	10	2008.09.07	-
TheHacker	6.3.0.8.075	2008.09.06	W32/Behav-Heuristic-060
TrendMicro	8.700.0.1004	2008.09.05	PAK_Generic.006
VBA32	3.12.8.5	2008.09.06	-
ViRobot	2008.9.5.1365	2008.09.06	-
VirusBuster	4.5.11.0	2008.09.06	Packed/Upack
Webwasher-Gateway	6.6.2	2008.09.05	Trojan.PSW.Online.aklp

附加信息

File size: 368640 bytes

MD5...: c338ff709aa7d081514d9a3c4bfe9c58

SHA1..: 12e2502a7061278f9684b4212c47c7b3c14c387d

SHA256: 31ada46585328cbd7b9e0f18f8f53279b63d6cc411b21cc5a7a6ea75cfa34cdc

SHA512: 3809d8ee9d413b68ad6a1466f8a4c3bc5553f91a53437e35df6f1b6aa27c61fe
12aa75a4c587205b9212d25a85174ae1a1a8d7f5be9ceed0767f8a88a9b25a85

PEiD..: -

TrID..: File type identification
DOS Executable Generic (100.0%)

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x7000 0x1f0 5.12 2d2d52cd874e5b5e9686d72eec201a70
@d@ 0x8000 0x9000 0x178c 7.76 beecfbaf6663351300b445c479b48c0f
Gt@@ 0x11000 0x1000 0x1f0 5.12 2d2d52cd874e5b5e9686d72eec201a70

( 0 imports )

( 0 exports )

packers (Kaspersky): PE_Patch, UPack

packers (Authentium): UPack

packers (F-Prot): UPack

文件 ctfmen.exe 接收于 2008.09.07 09:19:26 (CET)

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.9.6.0	2008.09.06	-
AntiVir	7.8.1.28	2008.09.05	TR/Downloader.Gen
Authentium	5.1.0.4	2008.09.06	W32/new-malware!Maximus
Avast	4.8.1195.0	2008.09.06	-
AVG	8.0.0.161	2008.09.07	-
BitDefender	7.2	2008.09.07	Trojan.Downloader.VB.VSV
CAT-QuickHeal	9.50	2008.09.06	(Suspicious) - DNAScan
ClamAV	0.93.1	2008.09.07	-
DrWeb	4.44.0.09170	2008.09.06	-
eSafe	7.0.17.0	2008.09.03	Suspicious File
eTrust-Vet	31.6.6072	2008.09.05	-
Ewido	4.0	2008.09.06	-
F-Prot	4.4.4.56	2008.09.06	W32/new-malware!Maximus
F-Secure	8.0.14332.0	2008.09.07	Suspicious_F.gen
Fortinet	3.112.0.0	2008.09.07	-
GData	19	2008.09.07	-
Ikarus	T3.1.1.34.0	2008.09.07	-
K7AntiVirus	7.10.443	2008.09.05	-
Kaspersky	7.0.0.125	2008.09.07	-
McAfee	5378	2008.09.05	-
Microsoft	1.3903	2008.09.07	-
NOD32v2	3423	2008.09.06	probably a variant of Win32/TrojanDownloader.VB.NPP
Norman	5.80.02	2008.09.05	W32/Packed/FSG_2.A
Panda	9.0.0.4	2008.09.06	Suspicious file
PCTools	4.4.2.0	2008.09.06	Packed/FSG
Prevx1	V2	2008.09.07	-
Rising	20.60.61.00	2008.09.07	-
Sophos	4.33.0	2008.09.07	Mal/Emogen-N
Sunbelt	3.1.1610.1	2008.09.05	VIPRE.Suspicious
Symantec	10	2008.09.07	Downloader
TheHacker	6.3.0.8.075	2008.09.06	-
TrendMicro	8.700.0.1004	2008.09.05	PAK_Generic.002
VBA32	3.12.8.5	2008.09.06	-
ViRobot	2008.9.5.1365	2008.09.06	-
VirusBuster	4.5.11.0	2008.09.06	Packed/FSG
Webwasher-Gateway	6.6.2	2008.09.05	Trojan.Downloader.Gen

附加信息

File size: 18549 bytes

MD5...: b901943fd5ac10087c0ba9c344398154

SHA1..: 63d5587c6e8df217d9e5c360a957ce2347b36214

SHA256: 4aa710e792bf9844e950c31d064c7dfdb2560a4b7f0ed3bd53ca1414005c7dfe

SHA512: fe16dc0cd035d48eeb485391b8cb5ab5c661ec29c5f50aef33ddac4bcd1a71e6
344cc29cf5e82c5f43b1c6314097fe3e887df98479d571e7137327caa1612de2

PEiD..: FSG v2.0 -> bart/xt

TrID..: File type identification
Win32 Executable Generic (67.9%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Targa bitmap (Original TGA Format) (0.0%)
MS Flight Simulator Aircraft Performance Info (0.0%)

PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x400154
timedatestamp.....: 0x21475346 (Fri Sep 11 01:35:02 1987)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
0x11000 0x5000 0x4675 7.28 f07d091280f400b888cfd94fd2ba22ad

( 1 imports )
> KERNEL32.dll: LoadLibraryA, GetProcAddress

( 0 exports )

packers (Kaspersky): FSG

packers (Authentium): FSG

packers (F-Prot): FSG

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

http://blog.csdn.net/purpleendurer

宠辱不惊，笑看堂前花开花落；去留无意，漫随天外云卷云舒。

分享到：

zl19901106 初生襁褓狮帖子:1 注册: 2009-05-20 来自:	发表于： 2009-05-20 18:35 \| 短消息资料字号：小中大 2楼回复：以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe 我想下一个试试看
zl19901106 初生襁褓狮帖子:1 注册: 2009-05-20 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2009-05-20 21:35 \| 短消息资料字号：小中大 3楼回复 1F endurer 的帖子此毒考验防火墙附件: 您所在的用户组无法下载或查看附件进出tiyn都有问题附件: 您所在的用户组无法下载或查看附件手动灭掉其进程，就彻底踏实了附件: 您所在的用户组无法下载或查看附件 baohe 最后编辑于 2009-05-20 21:40:20
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

luckymanli 初生襁褓狮帖子:1 注册: 2009-06-28 来自:	发表于： 2009-06-28 19:48 \| 短消息资料字号：小中大 4楼回复：以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe 下载一下杀毒
luckymanli 初生襁褓狮帖子:1 注册: 2009-06-28 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

瑞星卡卡安全论坛技术交流区可疑文件交流 以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

回复：以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

回复 1F endurer 的帖子

回复：以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe

瑞星卡卡安全论坛技术交流区可疑文件交流以假换真的ctfmon.exe，采用文件夹图标的 ctfmen.exe