冒允360的文件 360safe.exe，360up.exe

瑞星卡卡安全论坛技术交流区 可疑文件交流冒允360的文件 360safe.exe，360up.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十四次通过VB100测评		瑞星推出“1+2”全新解决方案建立网端协同智能防御体系		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

社区嘉宾

帖子:22020
注册: 2003-04-29
来自:pe_xscan Studio

发表于： 2008-07-12 11:30 | 只看楼主 短消息资料

字号：小中大 1楼

冒允360的文件 360safe.exe，360up.exe

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

解压密码：virus

O4 - HKLM\..\Run: [360] C:\WINDOWS\360safe.exe

文件说明符 : C:\WINDOWS\360safe.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 3
说明 : 360安全卫士
版权 : Copyright ? 2008
产品版本 : 1, 0, 0, 3
产品名称 : 360安全卫士
公司名称 : 奇虎网
源文件名 : 360safe.exe
创建时间 : 2008-7-7 15:57:6
修改时间 : 2008-7-7 15:57:6
大小 : 32768 字节 32.0 KB
MD5 : 7385f091690c32732911394f42871de9
SHA1: 29462D9A3DFDD9E773F37EE69AC429089EFD435A
CRC32: 81bb598c

文件说明符 : C:\WINDOWS\System32\360up.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 3
说明 : Windows Updater
版权 : 版权所有 (C) 2008
产品版本 : 1, 0, 0, 3
产品名称 : msword
公司名称 : Microsoft
内部名称 : msword
源文件名 : msword.exe
创建时间 : 2008-7-7 16:57:38
修改时间 : 2008-7-7 16:57:38
大小 : 69744 字节 68.112 KB
MD5 : 58e1c096ae0d190ec52d472ee487909b
SHA1: 7E362F9AC84D9E989B421671DC7FDB90F2756EED
CRC32: 024580a2

AVP___Trojan.Win32.BHO.exg

文件 360safe.exe 接收于 2008.07.12 05:21:27 (CET)

反病毒引擎	版本	最后更新	扫描结果
AntiVir	7.8.0.64	2008.07.11	TR/Spy.Small.bua
Authentium	5.1.0.4	2008.07.11	-
Avast	4.8.1195.0	2008.07.12	Win32:Spyware-gen
AVG	7.5.0.516	2008.07.11	Agent.YAO
BitDefender	7.2	2008.07.12	-
CAT-QuickHeal	9.50	2008.07.11	TrojanSpy.Small.buv
ClamAV	0.93.1	2008.07.11	-
DrWeb	4.44.0.09170	2008.07.11	-
eSafe	7.0.17.0	2008.07.10	-
eTrust-Vet	31.6.5949	2008.07.12	-
Ewido	4.0	2008.07.11	-
F-Prot	4.4.4.56	2008.07.11	-
F-Secure	7.60.13501.0	2008.07.10	-
Fortinet	3.14.0.0	2008.07.11	Spy/Small
GData	2.0.7306.1023	2008.07.12	Trojan-Spy.Win32.Small.buv
Ikarus	T3.1.1.26.0	2008.07.12	Trojan-Spy.Win32.Small.buv
Kaspersky	7.0.0.125	2008.07.12	Trojan-Spy.Win32.Small.buv
McAfee	5337	2008.07.11	-
Microsoft	1.3704	2008.07.12	-
NOD32v2	3263	2008.07.11	a variant of Win32/Agent.NXB
Norman	5.80.02	2008.07.11	-
Panda	9.0.0.4	2008.07.11	-
Prevx1	V2	2008.07.12	-
Rising	20.52.42.00	2008.07.12	-
Sophos	4.31.0	2008.07.12	Mal/Generic-A
Symantec	10	2008.07.12	Downloader
TheHacker	6.2.96.376	2008.07.10	-
TrendMicro	8.700.0.1004	2008.07.11	-
VBA32	3.12.6.9	2008.07.12	Trojan-Spy.Win32.Small.buv
VirusBuster	4.5.11.0	2008.07.11	-
Webwasher-Gateway	6.6.2	2008.07.11	Trojan.Spy.Small.bua

附加信息
File size: 32768 bytes
MD5...: 7385f091690c32732911394f42871de9
SHA1..: 29462d9a3dfdd9e773f37ee69ac429089efd435a
SHA256: 89b180b804862ba1763e0710a7ab59e354afbdd043e4eb078dd508af8fb6ecb6
SHA512: 9f8f73086cadc18495e0fc1a7523b8b14a3396347ee80bf38973b2df71bf9200<BR>aabbf2b5acb2b6ea09d0b7b662906fd8e090b5ede3c819654a3c24f29bf272e6
PEiD..: Armadillo v1.71
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x404334<BR>timedatestamp.....: 0x4871cc50 (Mon Jul 07 07:57:04 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x34f3 0x4000 5.60 ccb03f14e46e0aa1932a98cddf2cc37f<BR>.rdata 0x5000 0x830 0x1000 3.05 3d6fe81d62aacd16b626a70a111137db<BR>.data 0x6000 0xa20 0x1000 4.18 dd7f425ff9927448c82e0e9ee3540ec4<BR>.rsrc 0x7000 0x368 0x1000 0.93 88ea1119536a9c37360800cba45d62fa<BR><BR>( 5 imports ) <BR>> urlmon.dll: URLDownloadToFileA<BR>> MFC42.DLL: -, -, -, -, -, -, -<BR>> MSVCRT.dll: __dllonexit, _onexit, _exit, atoi, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, _terminate@@YAXXZ, __set_app_type, _strcmpi, time, srand, rand, fclose, strncpy, isalnum, isspace, __CxxFrameHandler, sprintf, _except_handler3, strstr, atof, _ftol, floor, fopen, __p__fmode, fgets, _itoa, _XcptFilter, _controlfp<BR>> KERNEL32.dll: GetModuleHandleA, GetLastError, FormatMessageA, LocalFree, GetSystemDirectoryA, CreateProcessA, ResumeThread, GetPrivateProfileStringA, GetPrivateProfileIntA, GetWindowsDirectoryA, TerminateProcess, LoadLibraryA, Sleep, WaitForMultipleObjects, CreateThread, ExitProcess, GetSystemTime, GetProcAddress, GetStartupInfoA<BR>> USER32.dll: DispatchMessageA, TranslateMessage, GetMessageA, CreateWindowExA, RegisterClassExA, FindWindowA, SetTimer, PostQuitMessage, KillTimer, DefWindowProcA, GetCursorPos, GetSystemMetrics, GetWindowRect, GetClassNameA, FindWindowExA, PostMessageA, SetWindowPos, IsWindow<BR><BR>( 0 exports ) <BR>

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

http://blog.csdn.net/purpleendurer

宠辱不惊，笑看堂前花开花落；去留无意，漫随天外云卷云舒。

分享到：

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-14 13:03 \| 短消息资料字号：小中大 2楼回复: 冒允360的文件 360safe.exe，360up.exe 第一个，没让它运行完。第二个，奇怪的是，在文件名路径与第1个都相同的情况下，建立的主策略限制规则怎么对它无效。是无软的这个组策略也要验证MD5什么的，还是这个仿360东东另有高招儿？
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-14 13:08 \| 短消息资料字号：小中大 3楼回复: 冒允360的文件 360safe.exe，360up.exe 第2个，运行后释放2个文件，如图；写如下的注册表，如图；连接如图的网络地址（如图，好像就是360的常用网址，好容易让人上当）附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-14 13:12 \| 短消息资料字号：小中大 4楼回复: 冒允360的文件 360safe.exe，360up.exe 它加载的dLL，好像都是一般正常的，没有自己的私货，有意识的是卡巴的反黑客dll和360的一个dll也用了。附件: 您所在的用户组无法下载或查看附件
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城	发表于： 2008-07-14 13:24 \| 短消息资料字号：小中大 5楼回复: 冒允360的文件 360safe.exe，360up.exe 有点可怕的是，在偶的也算完善防御的系统上，运行及下后似乎已经是死了，文件或删或禁止运行了，可是TINY的所有进程、真的360、一些常用安全工具，如冰刀等都变成了无权使用，本来早已改名存在的这些安全件也遭禁，有意识的是，若将扩展名改为txt等可以，改com、exe等就没权了，吓我一跳，幸好在TINY的ActivityMonitor的纪录条款上右键改设规则的功能还在，忙改之，重启计算机，这东东又成了死狗。两个铁球最后编辑于 2008-07-14 13:25:08
两个铁球叱咤花甲狮帖子:3107 注册: 2006-01-19 来自:新疆叶城

cathy_wen_qu 初生襁褓狮帖子:1 注册: 2010-07-16 来自:	发表于： 2010-07-16 09:06 \| 短消息资料字号：小中大 6楼回复：冒允360的文件 360safe.exe，360up.exe Thanks
cathy_wen_qu 初生襁褓狮帖子:1 注册: 2010-07-16 来自:

过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡	发表于： 2010-07-17 13:45 \| 短消息资料字号：小中大 7楼回复：冒允360的文件 360safe.exe，360up.exe 学习了...刚好可以在2011上测试一下.. 传说在很远的古代，一个庙里，有一个大神与一个小鬼住在里面。天下了大雨，庙前的河里长了水。来了一个人，过不了河，就把庙里的大神搬了出去，丢在河里，然后他踏在大神的身上，飞跳了过河。等会又来了
过客2007 版主帖子:16652 注册: 2006-10-18 来自:¤懒神↗之家￡

荔枝饭饭自信弱冠狮帖子:454 注册: 2010-06-26 来自:	发表于： 2010-07-18 12:18 \| 短消息资料字号：小中大 8楼回复：冒允360的文件 360safe.exe，360up.exe 楼主威武啊不能运行，可能是win7的原因，目前我用2011瑞星也不能查杀，直接手动删除了 ~木~
荔枝饭饭自信弱冠狮帖子:454 注册: 2010-06-26 来自:

duo9843 初生襁褓狮帖子:66 注册: 2010-07-29 来自:	发表于： 2010-07-30 19:30 \| 短消息资料字号：小中大 9楼回复: 冒允360的文件 360safe.exe，360up.exe 貌似是“李鬼卫士”。楼主看看第一篇文章。
duo9843 初生襁褓狮帖子:66 注册: 2010-07-29 来自:

duo9843 初生襁褓狮帖子:66 注册: 2010-07-29 来自:	发表于： 2010-07-30 19:31 \| 短消息资料字号：小中大 10楼回复: 冒允360的文件 360safe.exe，360up.exe 貌似是“李鬼卫士”。楼主看看第一篇文章。附件: 您所在的用户组无法下载或查看附件 duo9843 最后编辑于 2010-07-30 19:49:23
duo9843 初生襁褓狮帖子:66 注册: 2010-07-29 来自: