文件夹生出.exe尾巴？原来是MS-DOS.com,fonts.exe,Default.exe,HelpHost.com等做怪2

来源：互联网发布：上海外滩踩踏知乎编辑：程序博客网时间：2024/04/30 18:31

endurer 原创
2009-02-25 第1版

（续1）

部分恶意程序信息

文件说明符 : D:/auto.exe
属性 : --HR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-9-20 16:28:13
修改时间 : 2008-9-13 4:43:36
大小 : 33276 字节 32.508 KB
MD5 : 83db0cdad746f7d8eb4f156f63d54a91
SHA1: 9C582652B022BD405252787DBC4A118C8050CA0D
CRC32: 508dc527

文件说明符 : D:/MS-DOS.com
属性 : ASHR
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : xxx
内部名称 : Global
源文件名 : Global.exe
创建时间 : 2008-12-3 13:16:58
修改时间 : 2008-2-13 8:32:58
大小 : 225280 字节 220.0 KB
MD5 : a7bb6a24ad4ef53dc6f57d7fe5a9293f
SHA1: 98EC003CBE71CB1FDFF87E72E04760BFDE954B59
CRC32: 8b782321

文件说明符 : D:/MSDOS.bat
属性 : ASHR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-9-28 8:1:14
修改时间 : 2008-9-28 10:12:14
大小 : 9032 字节 8.840 KB
MD5 : 476f8ba41f54238ba132dec7b6c0b183
SHA1: 75A61F3005FC569BC3DA8E3FEB71D4670B7AAE01
CRC32: c8c1af3b

文件说明符 : C:/WINDOWS/system32/0F7593/742F8D.EXE
属性 : -SHR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-2-18 17:24:51
修改时间 : 2009-2-18 17:24:52
大小 : 1512912 字节 1.453 MB
MD5 : f9ed6efacd6ccab81f4d27dff442ad4b
SHA1: 1A5D72751EC0C68CAF5C7AED7C858CF76E0D4615
CRC32: 4ceea845

文件说明符 : J:/乐器.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-29 11:49:47
修改时间 : 2008-10-29 11:49:47
大小 : 1512912 字节 1.453 MB
MD5 : f9ed6efacd6ccab81f4d27dff442ad4b
SHA1: 1A5D72751EC0C68CAF5C7AED7C858CF76E0D4615
CRC32: 4ceea845

文件说明符 : J:/Notepad.exe
属性 : -SHR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-29 11:49:47
修改时间 : 2008-10-29 11:49:47
大小 : 1512912 字节 1.453 MB
MD5 : f9ed6efacd6ccab81f4d27dff442ad4b
SHA1: 1A5D72751EC0C68CAF5C7AED7C858CF76E0D4615
CRC32: 4ceea845

文件说明符 : J:/习俗.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-29 11:49:47
修改时间 : 2008-10-29 11:49:47
大小 : 1512912 字节 1.453 MB
MD5 : f9ed6efacd6ccab81f4d27dff442ad4b
SHA1: 1A5D72751EC0C68CAF5C7AED7C858CF76E0D4615
CRC32: 4ceea845

文件______.exe接收于2009.02.18 10:34:24 (CET)

结果:32/39 (82.06%)

反病毒引擎版本最后更新扫描结果a-squared4.0.0.932009.02.18Trojan.Peed!IKAhnLab-V32009.2.17.22009.02.18Win-Trojan/Xema.variantAntiVir7.9.0.832009.02.18TR/Dropper.GenAuthentium5.1.0.42009.02.18W32/Nuj.A.gen!EldoradoAvast4.8.1335.02009.02.17Win32:Spyware-genAVG8.0.0.2372009.02.17Downloader.Generic7.AXCSBitDefender7.22009.02.18Trojan.Spy.Agent.NXSCAT-QuickHeal10.002009.02.18TrojanDownloader.VB.icvClamAV0.94.12009.02.18Trojan.Downloader-64424Comodo9822009.02.17TrojWare.Win32.TrojanDownloader.VB.icvDrWeb4.44.0.091702009.02.18-eSafe7.0.17.02009.02.17Win32.VB.icveTrust-Vet31.6.63632009.02.18Win32/Nuj.DDF-Prot4.4.4.562009.02.17W32/Nuj.A.gen!EldoradoF-Secure8.0.14470.02009.02.18Trojan-Downloader.Win32.VB.icvFortinet3.117.0.02009.02.18W32/VB.ICV!tr.dldrGData192009.02.18Trojan.Spy.Agent.NXSIkarusT3.1.1.45.02009.02.18Trojan.PeedK7AntiVirus7.10.5822009.01.09Trojan-Downloader.Win32.VB.icvKaspersky7.0.0.1252009.02.18Trojan-Downloader.Win32.VB.icvMcAfee55292009.02.17W32/Autorun.worm.dq.genMcAfee+Artemis55292009.02.17W32/Autorun.worm.dq.genMicrosoft1.43062009.02.18TrojanDropper:Win32/RegulNOD3238632009.02.18probably a variant of Win32/TrojanDownloader.VBNorman6.00.062009.02.17-nProtect2009.1.8.02009.02.18Trojan-Downloader/W32.Agent.1512912Panda9.4.3.202009.02.18-PCTools4.4.2.02009.02.17-Prevx1V22009.02.18-Rising21.17.21.002009.02.18Worm.Win32.Autorun.eyrSecureWeb-Gateway6.7.62009.02.18Trojan.Dropper.GenSophos4.38.02009.02.18Mal/EncPk-GFSunbelt3.2.1855.22009.02.17Trojan-Downloader.Win32.VB.icvSymantec102009.02.18W32.SillyFDCTheHacker6.3.2.2.2592009.02.18Trojan/Downloader.VB.icvTrendMicro8.700.0.10042009.02.18-VBA323.12.8.132009.02.18Trojan-Downloader.Win32.VB.icvViRobot2009.2.18.16122009.02.18Trojan.Win32.Downloader.1512912VirusBuster4.5.11.02009.02.17-

附加信息File size: 1512912 bytesMD5...: f9ed6efacd6ccab81f4d27dff442ad4bSHA1..: 1a5d72751ec0c68caf5c7aed7c858cf76e0d4615SHA256: 96543093ce6a7ee65e2eb84e164bbc4d0f373b528f15a48099189da93442a350SHA512: f725b5aa40daa0b9f90fc5d5bd15f4cc0f38176924a942733d2df1f5b8b91b4d
cc227712c7e53da41b89f5e88a09d7bdc9d1c3a9dea68345d28b4ba1509987ffssdeep: 24576:HJlihSFZgXSasH/J2wSvidGHEdhgUDumvHhYBe9ML1K:HuIKKav0GHEXgU
asHhkdLk
PEiD..: -TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (62.9%)
Win32 Executable Generic (14.2%)
Win32 Dynamic Link Library (generic) (12.6%)
Clipper DOS Executable (3.3%)
Generic Win/DOS Executable (3.3%)PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40130b
timedatestamp.....: 0x59bffa3 (Mon Dec 25 05:33:23 1972)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x51bc 0x6000 6.97 a3f72f28b9891ecd2a2d7003469ae796
.rdata 0x7000 0xa4a 0x1000 3.58 777ac25ec7bba2eed5c97e65e8a812c4
.data 0x8000 0x1f58 0x2000 4.64 c1958dc4ce1baa3a901f8f445648ceca
.data 0xa000 0x1e000 0x1e000 6.96 dbc8adc0f20074a6b410b65cbbced4f4
.rsrc 0x28000 0x45b8 0x5000 3.31 648c3a5969b0f4793aef2b2434130798

( 2 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateDirectoryA, GetTempPathA, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, GetStringTypeA, LCMapStringW, LCMapStringA, HeapAlloc, HeapFree, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeW
> USER32.dll: MessageBoxA, wsprintfA

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f9ed6efacd6ccab81f4d27dff442ad4b' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f9ed6efacd6ccab81f4d27dff442ad4b</a>