在QQ共享群中找的可疑文件

来源:QQ群共享
说明:
  我解压缩后,由于有压缩密码。所以本机金山卫士不能够上传到云端分析文件是否安全。个人认为从文件名看比较可疑接着解压密码也是压缩包内的记事本文件名。我当独上传了压缩包中的.EXE可执行文件到了火眼和virustatol进行分析。
火眼分析结果:
http://fireeye.ijinshan.com/analyse.html?md5=7b8ded23bc602337cb25ab62ef11ed24&type=1
virustatol也没有一款杀软报毒。
接着将完整的压缩包上传到了virustatol,有四款杀毒软件报毒。

virustatol:https://www.virustotal.com/file/ ... nalysis/1349662516/

AVG Startpage.ROV
Ikarus Trojan.Win32.StartPage
Symantec WS.Reputation.1
TrendMicro-HouseCall TROJ_GEN.F47V1004
这个压缩包文件包括:
  两个jpg格式图片,一个XML文件,一个可执行程序。
大家认为这个文件是否安全呢?

2012-10-8 10:27 上传
下载附件 (25.4 KB)




一点感想:
金山卫士的下载安全保护功能是否可以这样绕过,简单设置一个压缩包密码。这样无法上传到云端分析。如果这个文件含有恶意代码,而且经过了免杀处理。这样,暂时避开了杀毒软件的文件监控(我使用金山卫士进行自定义扫描并没有报毒,)。恶意软件是否可以以此运行。
样本下载(重新上传):
http://www.ctdisk.com/file/9898842
解压密码:virus
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; QQDownload 725; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; youxihe.1544; .NET4.0C; .NET4.0E; youxihe.1544; LBBROWSER)
最后编辑xmsword 最后编辑于 2012-10-08 11:22:12