Win10论坛

Win10正式版系统下载主题平板

重定义Modern UI,打造完美Windows全新体验

Windows10下载|安装|新手宝典|必备软件

搜索
查看: 29430|回复: 60

[本版公告] 资源区病毒检测报告专用帖 [复制链接]

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

UID
923981
帖子
13916
PB币
20290
贡献
0
技术
10
活跃
993

十周年

发表于 2012-4-28 12:42:29 |显示全部楼层
本帖最后由 xiaoket 于 2012-6-16 23:51 编辑

近期Windows 7 资源分享区出现少数病毒资源帖,影响了资源区的环境。
为了避免病毒资源危害广大景友的电脑安全,希望各位会员积极参与,协助版主督察对可疑资源进行检测。

检测步骤:
1.下载帖子中的附件,进行手工检测并撰写检测报告(需附图),同等情况下应先检测那些受到大量会员投诉质疑的资源。
2.(可选)将文件上传至www.virscan.orgwww.virustotal.com检测并加入检测报告中。
3.将检测报告及原帖地址回复至本帖中。

每检测一个资源,可获30~100PB币奖励。如果成功检测出恶性病毒则追加100PB以上的奖励。下载附件所花费的PB币可报销。对于长期作出贡献的会员将颁发“热心会员”勋章奖励!

本帖禁止回复任何与病毒检测无关的内容。






1

查看全部评分

Rank: 5Rank: 5Rank: 5

UID
2398833
帖子
479
PB币
124
贡献
0
技术
0
活跃
0
发表于 2012-4-28 20:44:21 |显示全部楼层
本帖最后由 黄金肾斗士 于 2012-4-28 21:36 编辑

http://bbs.pcbeta.com/viewthread-1021415-1-1.html

大致信息在下面
DefenseWall log file

04.28.2012  20:41:15,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\ (资源隔离)

04.28.2012  20:41:15,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Srp\Gp\DLL\ (资源隔离)

04.28.2012  20:41:15,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:41:15,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKCU\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:41:15,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots\ (资源隔离)

04.28.2012  20:41:15,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Session Manager\ (资源隔离)

04.28.2012  20:41:06,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\ (资源隔离)

04.28.2012  20:41:06,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Srp\Gp\DLL\ (资源隔离)

04.28.2012  20:41:06,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:41:06,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKCU\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:41:06,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots\ (资源隔离)

04.28.2012  20:41:06,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Session Manager\ (资源隔离)

04.28.2012  20:40:29,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\ (资源隔离)

04.28.2012  20:40:29,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Srp\Gp\DLL\ (资源隔离)

04.28.2012  20:40:29,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:40:29,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKCU\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:40:29,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots\ (资源隔离)

04.28.2012  20:40:29,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Session Manager\ (资源隔离)

04.28.2012  20:40:17,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\ (资源隔离)

04.28.2012  20:40:17,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Srp\Gp\DLL\ (资源隔离)

04.28.2012  20:40:17,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:40:17,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKCU\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:40:17,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots\ (资源隔离)

04.28.2012  20:40:17,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Session Manager\ (资源隔离)

04.28.2012  20:40:03,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\ (资源隔离)

04.28.2012  20:40:03,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Srp\Gp\DLL\ (资源隔离)

04.28.2012  20:40:03,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:40:03,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKCU\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:40:03,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots\ (资源隔离)

04.28.2012  20:40:03,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Session Manager\ (资源隔离)

04.28.2012  20:39:46,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKCU\SOFTWARE\Tencent\QQPinyin\ (资源隔离)

04.28.2012  20:39:46,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKCU\SOFTWARE\Tencent\QQPinyin\ (资源隔离)

04.28.2012  20:39:46,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKCU\SOFTWARE\Tencent\QQPinyin\ (资源隔离)

04.28.2012  20:39:46,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKCU\SOFTWARE\Tencent\QQPinyin\ (资源隔离)

04.28.2012  20:39:46,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKCU\ (资源隔离)

04.28.2012  20:39:46,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\ (资源隔离)

04.28.2012  20:39:46,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, Attempt to open protected key HKLM\SOFTWARE\Microsoft\CTF\KnownClasses\ (资源隔离)

04.28.2012  20:39:41,模块 F:\Program Files\Minilyrics\MiniLyrics.exe, 2:Process is running untrusted now (进程)

04.28.2012  20:34:28,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\ (资源隔离)

04.28.2012  20:34:28,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Srp\Gp\DLL\ (资源隔离)

04.28.2012  20:34:28,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:34:28,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots\ (资源隔离)

04.28.2012  20:34:28,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Session Manager\ (资源隔离)

04.28.2012  20:34:23,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\ (资源隔离)

04.28.2012  20:34:23,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Srp\Gp\DLL\ (资源隔离)

04.28.2012  20:34:23,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:34:23,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots\ (资源隔离)

04.28.2012  20:34:23,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Session Manager\ (资源隔离)

04.28.2012  20:34:07,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\ (资源隔离)

04.28.2012  20:34:07,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Srp\Gp\DLL\ (资源隔离)

04.28.2012  20:34:07,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\ (资源隔离)

04.28.2012  20:34:07,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots\ (资源隔离)

04.28.2012  20:34:07,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\Session Manager\ (资源隔离)
也没设得太严,部分动作没去管,改注册表有点多,呵呵!用我的钛合金狗眼认为不是病毒,,,,图没有、、、
1

查看全部评分

Rank: 5Rank: 5Rank: 5

UID
2398833
帖子
479
PB币
124
贡献
0
技术
0
活跃
0
发表于 2012-4-28 20:49:19 |显示全部楼层
https://www.virustotal.com/file/9f9ed5fb765717511cbdfde7ed535fd1eb6c4fdf28a9a59f214765e3122e1304/analysis/

这是www.virustotal.com的检测结果,病毒类型每个都不一样,很可能是误报

Rank: 5Rank: 5Rank: 5

UID
2398833
帖子
479
PB币
124
贡献
0
技术
0
活跃
0
发表于 2012-4-29 11:51:07 |显示全部楼层
我只对注册表方面看了看动作,竟然它在碰QQ拼音的注册表,可疑,等我再看看它在文件方面动了哪些文件,真不该偷懒不检测文件。大家小心。
1

查看全部评分

隐约看见

Rank: 11Rank: 11Rank: 11

UID
2209119
帖子
11313
PB币
29
贡献
0
技术
59
活跃
321

7周年庆典勋章

发表于 2012-5-7 19:07:49 |显示全部楼层
我可以吗?

点评

xiaoket  可以  发表于 2012-5-7 20:50

隐约看见

Rank: 11Rank: 11Rank: 11

UID
2209119
帖子
11313
PB币
29
贡献
0
技术
59
活跃
321

7周年庆典勋章

发表于 2012-5-7 20:53:37 |显示全部楼层
我想应该没有什么很大的资源来判别是否有病毒吧,否则小水管伤不起...

Rank: 1

UID
1018189
帖子
72
PB币
79
贡献
0
技术
0
活跃
254
发表于 2012-5-8 16:22:53 |显示全部楼层
我想报名,但是不知道能不能完全胜任

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

UID
923981
帖子
13916
PB币
20290
贡献
0
技术
10
活跃
993

十周年

发表于 2012-5-9 07:52:25 |显示全部楼层
zcarcadia 发表于 2012-5-8 16:22
我想报名,但是不知道能不能完全胜任

目前尚未设立这个职务,仅以活动的形式欢迎广大热心会员参与检测分析,你可以按照要求分析可疑资源并把报告提交至本帖中。

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

UID
923981
帖子
13916
PB币
20290
贡献
0
技术
10
活跃
993

十周年

发表于 2012-5-22 22:04:45 |显示全部楼层
迅雷离线下载器3.8绿色版(2012迅雷离线下载器不再受限) | http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1036860

检测报告:
  1. 2012-05-22 21:54:32         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         访问COM接口         C:\Windows\System32\svchost.exe
  2. 2012-05-22 21:54:38         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         Sandbox中运行         部分限制
  3. 2012-05-22 21:54:46         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
  4. 2012-05-22 21:54:46         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
  5. 2012-05-22 21:55:23         C:\Windows\System32\taskhost.exe         发送消息         C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
  6. 2012-05-22 21:56:33         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         Sandbox中运行         部分限制
  7. 2012-05-22 21:56:35         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
  8. 2012-05-22 21:56:35         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
  9. 2012-05-22 21:56:39         C:\Windows\System32\taskhost.exe         发送消息         C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
  10. 2012-05-22 21:56:46         C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe         DNS/RPC 客户端访问         \RPC Control\DNSResolver
  11. 2012-05-22 22:00:25         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
  12. 2012-05-22 22:00:34         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
  13. 2012-05-22 22:00:49         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
  14. 2012-05-22 22:00:51         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
  15. 2012-05-22 22:00:53         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         修改注册表项         HKUS\S-1-5-21-2075873201-3688207157-3603091580-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
  16. 2012-05-22 22:00:56         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         DNS/RPC 客户端访问         \RPC Control\DNSResolver
  17. 2012-05-22 22:01:03         C:\Users\Auto1\Desktop\XL离线下载器v3.8.exe         访问COM接口         C:\Windows\System32\svchost.exe
复制代码


1.png


修改部分注册表键值,但很可能出于软件需要,不一定是病毒。
1

查看全部评分

节操役

Rank: 15Rank: 15Rank: 15

UID
1333998
帖子
17652
PB币
34129
贡献
0
技术
19
活跃
901
发表于 2012-5-26 07:03:16 |显示全部楼层
黄金肾斗士 发表于 2012-4-28 20:44
http://bbs.pcbeta.com/viewthread-1021415-1-1.html

大致信息在下面

钛合金狗眼略不准

04.28.2012  20:41:06,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKCU\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\


04.28.2012  20:40:29,模块 F:\Users\PIU\Desktop\Minilyrics 7.4.8\_MiniLyrics.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Option\


--------------------------------------------------------------
第一个表项不认识,但看起来危险。
但第二个,你觉得一个正常软件有必要改安全模式boot类键值?怎么看这个行为都是准备在你进安全模式的时候改为应该的系统行为的样子……看着软件的名字似乎不需要这么做……
至少这个文件有很大嫌疑……不过光看注册表也不知道了

当然这是我的狗眼的观察结果……或许其实眼光比你更差……
1

查看全部评分

节操役

Rank: 15Rank: 15Rank: 15

UID
1333998
帖子
17652
PB币
34129
贡献
0
技术
19
活跃
901
发表于 2012-5-26 07:21:26 |显示全部楼层
本帖最后由 阿伯才的风格 于 2012-5-26 07:23 编辑
zhangjf05 发表于 2012-5-22 22:04
迅雷离线下载器3.8绿色版(2012迅雷离线下载器不再受限) | http://bbs.pcbeta.com/forum.php?mod=viewthread ...

随便说两句吧,希望能给你一些启发性的思路。我比较懒……
这个软件本身就联网才能工作,所以这方面上确实不能看出什么。而且因为你本身就需要运行它,估计也不会对系统文件做太多的修改(也可以看看,改了就是神作了),那么要判断这个软件是否恶意在我看来还剩两种比较可行的方法。要么反向工程,这个太不靠谱了……

还有就是找个网络监控软件,在关闭迅雷P2P选项和镜像服务器加速这一类加速的情况下,下一个离线看看这个软件到底还有什么其他的链接没有。(已经正常运行时的联接情况)

但是,就算一切看起来正常,还有一个最后的隐风险,就是软件本身目的是盗取迅雷帐号什么的……那就估计很难知道了

当然我没实际运行这个软件,只是看了你的报告给我这样的感觉而已
1

查看全部评分

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

UID
923981
帖子
13916
PB币
20290
贡献
0
技术
10
活跃
993

十周年

发表于 2012-5-26 17:59:57 |显示全部楼层
阿伯才的风格 发表于 2012-5-26 07:21
随便说两句吧,希望能给你一些启发性的思路。我比较懒……
这个软件本身就联网才能工作,所以这方面上确 ...

确实,像这类的软件的确有盗号风险,但是想要使用hips去证明其有盗号行为确实不容易,目前我还在寻找更有效的检测方法。

节操役

Rank: 15Rank: 15Rank: 15

UID
1333998
帖子
17652
PB币
34129
贡献
0
技术
19
活跃
901
发表于 2012-5-26 18:04:05 |显示全部楼层
zhangjf05 发表于 2012-5-26 17:59
确实,像这类的软件的确有盗号风险,但是想要使用hips去证明其有盗号行为确实不容易,目前我还在寻找更有 ...

找个网络监控的软件看看发送的数据包。

一般来说盗号软件都是往邮箱发帐号和密码的。因为这个软件我没用过,不知道到底是这个软件在下载,还是迅雷在下载。但既然是离线下载,如果是这个软件在下载,那么反馈应到都是TCP协议,如果不是这也软件在下载,应该一般来说不太会有发送出去的数据包。

如果有出现其他协议,或者发送的数据包指向了某个邮件服务器,就很可疑了。

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

UID
923981
帖子
13916
PB币
20290
贡献
0
技术
10
活跃
993

十周年

发表于 2012-5-26 18:08:33 |显示全部楼层
阿伯才的风格 发表于 2012-5-26 18:04
找个网络监控的软件看看发送的数据包。

一般来说盗号软件都是往邮箱发帐号和密码的。因为这个软件我没 ...

目前我还没有能力通过协议来进行分析,不过我会努力的。我看你对这方面比较在行,希望你也能多多支持检测活动,分析那些受会员质疑的资源,并撰写报告发至本贴中,可获得大量PBB奖励

节操役

Rank: 15Rank: 15Rank: 15

UID
1333998
帖子
17652
PB币
34129
贡献
0
技术
19
活跃
901
发表于 2012-5-26 18:18:33 |显示全部楼层
zhangjf05 发表于 2012-5-26 18:08
目前我还没有能力通过协议来进行分析,不过我会努力的。我看你对这方面比较在行,希望你也能多多支持检测 ...

表示我是个懒人,不想专门开虚拟机做分析……

但我不不介意在有空的时候帮忙看一下你们贴出来的“注册表“,”文件行为”等……只要你们愿意贴出来的话。虽然其实也不是特别会看……


至于网络抓包,我其实也不是特别的懂,而且多数软件都是有不同行为也不能一概而论,就这个软件而已我也只是这么分析的而已,既不权威也不是绝对正确。
至于基于网络通信的分析,因为不是做专业测试的,所以平时只是用cfs自带的连接查看来看而已……不过只是粗浅分析的话,其实系统自带的资源监视器网络选项卡还是能提供不少有用的信息的。
1

查看全部评分

Rank: 2Rank: 2

UID
667045
帖子
219
PB币
150
贡献
0
技术
0
活跃
70
发表于 2012-6-17 06:10:40 |显示全部楼层
http://bbs.pcbeta.com/viewthread-1045213-1-1.html
【5.28修正版】迅雷vip尊享版7.3.1.56 (本地VIP6)优化版--星空不寂寞

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

UID
923981
帖子
13916
PB币
20290
贡献
0
技术
10
活跃
993

十周年

发表于 2012-6-17 08:38:44 |显示全部楼层
本帖最后由 zhangjf05 于 2012-6-17 08:46 编辑
花哥是偶像 发表于 2012-6-17 06:10
http://bbs.pcbeta.com/viewthread-1045213-1-1.html
【5.28修正版】迅雷vip尊享版7.3.1.56 (本地VIP6)优化 ...

您的举报已收到,以下是我对此软件的病毒分析报告:

1.COMODO Defence+报告

  1. COMODO Internet Security Premium - 日志查看器 日志  表:Defense+ 事件  日期创建:2012-06-17 08:24:11  记录数:114日期应用程序行为目标

  2. 2012-06-17 08:15:19 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\BaseCommunity.dll

  3. 2012-06-17 08:15:29 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\DoctorServiceDLL.dll

  4. 2012-06-17 08:15:36 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\DownloadKernel.dll

  5. 2012-06-17 08:15:38 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\MediaFileHeaderFirst.dll

  6. 2012-06-17 08:15:40 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\MediaParser.dll

  7. 2012-06-17 08:15:44 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\SuperDownloadInfo.dll

  8. 2012-06-17 08:15:47 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\TA.dll

  9. 2012-06-17 08:15:50 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe

  10. 2012-06-17 08:15:51 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\ThunderPlatform.exe

  11. 2012-06-17 08:15:52 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\UACTool.dll

  12. 2012-06-17 08:15:58 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\Win7Trait.dll

  13. 2012-06-17 08:16:00 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XBrowser.exe

  14. 2012-06-17 08:16:02 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLBugHandler.dll

  15. 2012-06-17 08:16:03 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLCrypto.dll

  16. 2012-06-17 08:16:04 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLFSIO.dll

  17. 2012-06-17 08:16:06 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLGraphic.dll

  18. 2012-06-17 08:16:08 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLIPC.dll

  19. 2012-06-17 08:16:09 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLLuaRuntime.dll

  20. 2012-06-17 08:16:10 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLServicePlatform.dll

  21. 2012-06-17 08:16:11 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLTS.dll

  22. 2012-06-17 08:16:11 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLUE.dll

  23. 2012-06-17 08:16:12 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLUserAX.dll

  24. 2012-06-17 08:16:13 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\XLWebBrowser.dll

  25. 2012-06-17 08:16:14 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\al.dll

  26. 2012-06-17 08:16:15 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\asyn_download_interface.dll

  27. 2012-06-17 08:16:19 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\asyn_frame.dll

  28. 2012-06-17 08:16:20 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\atl71.dll

  29. 2012-06-17 08:16:21 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\backend_agent.dll

  30. 2012-06-17 08:16:23 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\bt_kernel.dll

  31. 2012-06-17 08:16:24 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\dl_peer_id.dll

  32. 2012-06-17 08:16:25 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\dl_uac_tool.dll

  33. 2012-06-17 08:16:27 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\down_dispatcher.dll

  34. 2012-06-17 08:16:41 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\download_engine.dll

  35. 2012-06-17 08:16:45 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\download_interface.dll

  36. 2012-06-17 08:17:03 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Program Files\Thunder Network\Thunder\BHO\BHOInstall.exe

  37. 2012-06-17 08:17:16 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Program Files\Thunder Network\Thunder\BHO\BHOInstall.exe

  38. 2012-06-17 08:17:21 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Program Files\Thunder Network\Thunder\Program\ThunderPlatform.exe

  39. 2012-06-17 08:17:23 C:\Program Files\Thunder Network\Thunder\Program\ThunderPlatform.exe 直接磁盘访问 PhysicalDrive0

  40. 2012-06-17 08:17:31 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe

  41. 2012-06-17 08:17:35 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Windows\explorer.exe

  42. 2012-06-17 08:17:40 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\al.dll

  43. 2012-06-17 08:17:45 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\asyn_download_interface.dll

  44. 2012-06-17 08:17:47 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 修改文件 C:\Program Files\Thunder Network\Thunder\Program\asyn_frame.dll

  45. 2012-06-17 08:17:55 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Windows\System32\regsvr32.exe

  46. 2012-06-17 08:18:23 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Windows\System32\regsvr32.exe

  47. 2012-06-17 08:18:25 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Windows\System32\regsvr32.exe

  48. 2012-06-17 08:18:28 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Windows\System32\regsvr32.exe

  49. 2012-06-17 08:18:31 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Windows\System32\regsvr32.exe

  50. 2012-06-17 08:18:33 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Windows\System32\regsvr32.exe

  51. 2012-06-17 08:18:37 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Windows\System32\svchost.exe

  52. 2012-06-17 08:18:40 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Internet Explorer\MenuExt\使用迅雷下载 2012-06-17 08:18:46 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Internet Explorer\MenuExt\使用迅雷下载\ 2012-06-17 08:18:48 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Internet Explorer\MenuExt\使用迅雷下载\Name

  53. 2012-06-17 08:18:49 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Internet Explorer\MenuExt\使用迅雷下载\Contexts

  54. 2012-06-17 08:18:51 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Internet Explorer\MenuExt\使用迅雷下载全部链接

  55. 2012-06-17 08:18:53 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Internet Explorer\MenuExt\使用迅雷下载全部链接\

  56. 2012-06-17 08:18:55 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Internet Explorer\MenuExt\使用迅雷下载全部链接\Name

  57. 2012-06-17 08:19:00 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Internet Explorer\MenuExt\使用迅雷下载全部链接\Contexts

  58. 2012-06-17 08:19:10 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Program Files\Thunder Network\Thunder\BHO\XLNonIESvr.exe

  59. 2012-06-17 08:19:20 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Windows\System32\regsvr32.exe

  60. 2012-06-17 08:19:26 C:\Program Files\Thunder Network\Thunder\BHO\LinkSimulate.dll 修改注册表项 HKLM\SOFTWARE\Classes\AppID\{7381F8D4-93CB-4F11-8BFD-BFEA389708A7}

  61. 2012-06-17 08:19:39 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Program Files\Internet Explorer\iexplore.exe

  62. 2012-06-17 08:19:59 C:\Users\D.I\Desktop\Thunder7.3.1.56_VIP.exe 创建进程 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe

  63. 2012-06-17 08:20:03 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 直接键盘访问  

  64. 2012-06-17 08:20:12 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 修改文件 C:\Windows\desktop.ini

  65. 2012-06-17 08:20:15 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 直接磁盘访问 PhysicalDrive0

  66. 2012-06-17 08:20:19 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe DNS/RPC 客户端访问 \RPC Control\DNSResolver

  67. 2012-06-17 08:20:24 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Windows\explorer.exe

  68. 2012-06-17 08:20:27 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 创建进程 C:\Program Files\Thunder Network\Thunder\Program\ThunderPlatform.exe

  69. 2012-06-17 08:20:31 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问COM接口 C:\Windows\System32\svchost.exe

  70. 2012-06-17 08:20:34 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections

  71. 2012-06-17 08:20:37 C:\Program Files\Thunder Network\Thunder\Program\ThunderPlatform.exe 直接磁盘访问 PhysicalDrive0

  72. 2012-06-17 08:20:46 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  73. 2012-06-17 08:20:46 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  74. 2012-06-17 08:21:12 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  75. 2012-06-17 08:21:12 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe

  76. 2012-06-17 08:21:12 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  77. 2012-06-17 08:21:17 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  78. 2012-06-17 08:21:22 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  79. 2012-06-17 08:21:27 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  80. 2012-06-17 08:21:32 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  81. 2012-06-17 08:21:37 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  82. 2012-06-17 08:21:42 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  83. 2012-06-17 08:21:47 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  84. 2012-06-17 08:21:52 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  85. 2012-06-17 08:21:57 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  86. 2012-06-17 08:22:03 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  87. 2012-06-17 08:22:08 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  88. 2012-06-17 08:22:13 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  89. 2012-06-17 08:22:18 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  90. 2012-06-17 08:22:23 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  91. 2012-06-17 08:22:37 C:\Windows\explorer.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  92. 2012-06-17 08:22:53 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 创建进程 C:\Program Files\Thunder Network\Thunder\Program\XBrowser.exe

  93. 2012-06-17 08:22:57 C:\Program Files\Thunder Network\Thunder\Program\XBrowser.exe 访问内存 C:\Windows\explorer.exe

  94. 2012-06-17 08:23:00 C:\Program Files\Thunder Network\Thunder\Program\XBrowser.exe 安装钩子 C:\Program Files\Thunder Network\Thunder\Program\.\XBrowser.exe

  95. 2012-06-17 08:23:02 C:\Program Files\Thunder Network\Thunder\Program\XBrowser.exe 访问COM接口 {9BA05972-F6A8-11CF-A442-00A0C90A8F39}

  96. 2012-06-17 08:23:03 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  97. 2012-06-17 08:23:03 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  98. 2012-06-17 08:23:03 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  99. 2012-06-17 08:23:06 C:\Program Files\Thunder Network\Thunder\Program\XBrowser.exe 访问COM接口 C:\Windows\explorer.exe

  100. 2012-06-17 08:23:08 C:\Program Files\Thunder Network\Thunder\Program\XBrowser.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections

  101. 2012-06-17 08:23:08 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  102. 2012-06-17 08:23:13 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  103. 2012-06-17 08:23:14 C:\Program Files\Thunder Network\Thunder\Program\XBrowser.exe 修改注册表项 HKUS\S-1-5-21-834301855-58176525-753496506-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable

  104. 2012-06-17 08:23:19 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  105. 2012-06-17 08:23:24 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

  106. 2012-06-17 08:23:38 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  107. 2012-06-17 08:23:44 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  108. 2012-06-17 08:23:44 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  109. 2012-06-17 08:23:49 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  110. 2012-06-17 08:23:54 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  111. 2012-06-17 08:23:59 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  112. 2012-06-17 08:24:04 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe

  113. 2012-06-17 08:24:09 C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe 访问内存 C:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe 报告结束
复制代码


D+报告:
1.rar (2.3 KB, 下载次数: 1)




2.VirSCAN扫描报告
  1. VirSCAN.org Scanned Report :
  2. Scanned time   : 2012/06/17 08:32:10 (CST)
  3. Scanner results: 3%的杀软(1/36)报告发现病毒
  4. File Name      : Thunder7.3.1.56_VIP.exe
  5. File Size      : 14401984 byte
  6. File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
  7. MD5            : de09ba19068534256053e9cddfcd75aa
  8. SHA1           : ca9a68a9bc8d3d462af4adca303f41c194aeeef9
  9. Online report  : http://r.virscan.org/d6d79cd5558a3c7224d89ddaf76660e9

  10. Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
  11. a-squared      5.1.0.4         20120617042134    2012-06-17  3.78   -
  12. 安博士V3       ...             ..                --          0.17   -
  13. AntiVir        8.2.10.80       7.11.32.106       2012-06-09  0.18   -
  14. 安天           2.0.18          2.0.18.           0002-18-00  1.42   -
  15. Arcavir        2011            201206041805      2012-06-04  4.41   -
  16. Authentium     5.1.1           201206161827      2012-06-16  1.48   -
  17. AVAST!         4.7.4           120616-1          2012-06-16  2.49   -
  18. AVG            12.0.1787       2433/5073         2012-06-16  0.65   -
  19. BitDefender    7.90123.7292519 7.42612           2012-06-16  4.21   -
  20. ClamAV         0.97.3          15050             2012-06-16  6.36   PUA.Win32.Packer.SetupExeSection
  21. Comodo         5.1             12640             2012-06-16  3.04   -
  22. CP Secure      1.3.0.5         2012.06.17        2012-06-17  2.60   -
  23. Dr.Web         7.0.2.4281      2012.06.17        2012-06-17  27.14  -
  24. F-Prot         4.6.2.117       20120616          2012-06-16  0.92   -
  25. F-Secure       7.02.73807      2012.06.16.06     2012-06-16  3.88   -
  26. 飞塔           4.3.392         15.706            2012-06-16  0.27   -
  27. GData          22.5308         20120617          2012-06-17  7.79   -
  28. ViRobot        20120616        2012.06.16        2012-06-16  0.40   -
  29. Ikarus         T3.1.32.20.0    2012.06.16.81513  2012-06-16  12.78  -
  30. 江民杀毒       13.0.900        2012.06.16        2012-06-16  2.12   -
  31. 卡巴斯基       5.5.10          2012.06.16        2012-06-16  0.00   -
  32. 金山毒霸       2009.2.5.15     2012.6.16.9       2012-06-16  1.11   -
  33. 迈克菲         5400.1158       6744              2012-06-16  10.22  -
  34. Microsoft      1.8403          2012.06.17        2012-06-17  3.52   -
  35. NOD32          3.0.21          7226              2012-06-16  0.23   -
  36. 熊猫卫士       9.05.01         2012.06.16        2012-06-16  2.48   -
  37. 趋势科技       9.500-1005      9.198.04          2012-06-16  0.48   -
  38. Quick Heal     11.00           2012.06.16        2012-06-16  3.79   -
  39. 瑞星           20.0            24.14.03.01       2012-06-14  3.22   -
  40. Sophos         3.32.0          4.78              2012-06-17  4.80   -
  41. Sunbelt        3.9.2539.2      12064             2012-06-16  2.98   -
  42. 赛门铁克       1.3.0.24        20120614.002      2012-06-14  0.16   -
  43. nProtect       20120616.01     11466463          2012-06-16  1.40   -
  44. The Hacker     6.8.0.0         v00038            2012-06-16  0.63   -
  45. VBA32          3.12.16.8       20120615.0810     2012-06-15  37.24  -
  46. VirusBuster    5.5.1.3         15.0.56.0/8964532 2012-06-15  0.22   -
复制代码



综合分析,该资源有毒的可能性不大。

Rank: 2Rank: 2

UID
667045
帖子
219
PB币
150
贡献
0
技术
0
活跃
70
发表于 2012-6-17 11:14:57 |显示全部楼层
zhangjf05 发表于 2012-6-17 08:38
您的举报已收到,以下是我对此软件的病毒分析报告:

1.COMODO Defence+报告

行 那我就信你了.希望乃不会让我失望

点评

阿伯才的风格  呃……莫非你只是怕有毒而已么……  发表于 2012-6-17 16:56

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

UID
923981
帖子
13916
PB币
20290
贡献
0
技术
10
活跃
993

十周年

发表于 2012-6-17 11:43:35 |显示全部楼层
花哥是偶像 发表于 2012-6-17 11:14
行 那我就信你了.希望乃不会让我失望

如果在使用过程中遇到任何问题可再联系我。

另外,举报应发在此帖中:《【资源有奖反馈】资源失效/不符/重复/图片不显示/病毒等情况请入内举报,可获PB币奖励

本主题仅用于张贴病毒检测报告,以后注意一下

Rank: 17Rank: 17Rank: 17Rank: 17Rank: 17

UID
923981
帖子
13916
PB币
20290
贡献
0
技术
10
活跃
993

十周年

发表于 2012-6-24 23:20:28 |显示全部楼层
本帖最后由 zhangjf05 于 2012-6-25 22:35 编辑

Nero 11 Keygen | http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1049949

Comodo Instant Malware Analysis检测报告:

• File Info
NameValue
Size943104
MD5f0b5191dce3694bf793fea49ffbd7926
SHA1c060d170a608d2f698c727e1a3313bead613fb12
SHA256d6acab03769db4667c8d06c71ed6745d2a129f52628e88ecc7a82a2e72fc24c4
ProcessExited
• Keys Created• Keys Changed• Keys Deleted• Values Created• Values Changed• Values Deleted• Directories Created• Directories Changed• Directories Deleted• Files Created• Files Changed• Files Deleted• Directories Hidden• Files Hidden• Drivers Loaded• Drivers Unloaded• Processes Created• Processes Terminated• Threads Created• Modules Loaded• Windows Api Calls• DNS Queries• HTTP Queries• Verdict
Auto Analysis Verdict
Undetected




VirScan扫描报告:
  1. VirSCAN.org Scanned Report :
  2. Scanned time   : 2012/06/24 23:20:00 (CST)
  3. Scanner results: 67%的杀软(24/36)报告发现病毒
  4. File Name      : ***file name has been blocked***
  5. File Size      : 943104 byte
  6. File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono
  7. MD5            : f0b5191dce3694bf793fea49ffbd7926
  8. SHA1           : c060d170a608d2f698c727e1a3313bead613fb12
  9. Online report  : http://r.virscan.org/31403fe6dc3970ca3cc624a189636db8Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
  10. a-squared      5.1.0.4         20120623140115    2012-06-23  0.35   Win32.SuspectCrc!IK
  11. 安博士V3       ...             ..                --          0.16   -
  12. AntiVir        8.2.10.80       7.11.32.106       2012-06-09  0.18   -
  13. 安天           2.0.18          2.0.18.           0002-18-00  0.27   Backdoor/Win32.DarkKomet.arj
  14. Arcavir        2011            201206041805      2012-06-04  4.38   -
  15. Authentium     5.1.1           201206240944      2012-06-24  1.53   -
  16. AVAST!         4.7.4           120624-0          2012-06-24  0.31   MSIL:Agent-GG [Trj]
  17. AVG            12.0.1787       2433/5090         2012-06-24  0.23   BackDoor.Generic15.AVPM
  18. BitDefender    7.90123.7321270 7.42709           2012-06-24  3.98   Gen:Variant.Kazy.69851
  19. ClamAV         0.97.3          15074             2012-06-24  0.27   PUA.Win32.Packer.SetupExeSection
  20. Comodo         5.1             12716             2012-06-24  2.44   UnclassifiedMalware
  21. CP Secure      1.3.0.5         2012.06.24        2012-06-24  0.27   -
  22. Dr.Web         7.0.2.4281      2012.06.24        2012-06-24  13.72  Trojan.Siggen.65131
  23. F-Prot         4.6.2.117       20120623          2012-06-23  0.85   -
  24. F-Secure       7.02.73807      2012.06.24.02     2012-06-24  2.79   Gen:Variant.Kazy.69851 [Aquarius]
  25. 飞塔           4.3.392         15.743            2012-06-23  0.20   W32/DarkKomet.ARJ!tr.bdr
  26. GData          22.5395         20120624          2012-06-24  5.21   Gen:Variant.Kazy.69851 [Engine:A]
  27. ViRobot        20120623        2012.06.23        2012-06-23  0.36   -
  28. Ikarus         T3.1.32.20.0    2012.06.24.81576  2012-06-24  6.74   Win32.SuspectCrc
  29. 江民杀毒       13.0.900        2012.06.24        2012-06-24  2.04   Backdoor/DarkKomet.dj
  30. 卡巴斯基       5.5.10          2012.06.24        2012-06-24  0.24   Backdoor.Win32.DarkKomet.arj
  31. 金山毒霸       2009.2.5.15     2012.6.24.9       2012-06-24  0.89   -
  32. 迈克菲         5400.1158       6750              2012-06-22  9.81   Generic BackDoor!1sk
  33. Microsoft      1.8502          2012.06.24        2012-06-24  3.27   -
  34. NOD32          3.0.21          7242              2012-06-22  0.25   a variant of MSIL/Injector.ADO trojan
  35. 熊猫卫士       9.05.01         2012.06.23        2012-06-23  2.52   Generic Malware
  36. 趋势科技       9.500-1005      9.214.04          2012-06-24  0.19   TROJ_SPNR.06EF12
  37. Quick Heal     11.00           2012.06.23        2012-06-23  1.16   Backdoor.DarkKomet.arj
  38. 瑞星           20.0            24.15.03.01       2012-06-21  2.54   -
  39. Sophos         3.32.0          4.78              2012-06-24  5.33   -
  40. Sunbelt        3.9.2539.2      12105             2012-06-23  0.89   Trojan.Win32.Generic!BT
  41. 赛门铁克       1.3.0.24        20120623.009      2012-06-23  0.50   Trojan.Gen
  42. nProtect       20120624.01     11510699          2012-06-24  1.41   -
  43. The Hacker     6.8.0.0         v00042            2012-06-23  0.58   Backdoor/DarkKomet.arj
  44. VBA32          3.12.18.0       20120622.1130     2012-06-22  3.61   Backdoor.DarkKomet.arj
  45. VirusBuster    5.5.1.3         15.0.66.0/9024079 2012-06-24  0.17   Backdoor.DarkKomet!hx6j8nTG54A
复制代码
本程序是破解器,存在误报的可能。

程序无法运行,未触发COMODO Defence+警报。手工分析失败

关闭

站长推荐

近期很多账号被盗,请加强密码保护!!
请注意保护自身账号安全
回顶部
Copyright (C) 2005-2017 pcbeta.com, All rights reserved
Powered by Discuz!  苏ICP备17027154号
请勿发布违反中华人民共和国法律法规的言论,会员观点不代表远景论坛官方立场。
远景在线 | 远景论坛 | 苹果论坛 | Win10论坛 | Win8论坛 | Win7论坛 | WP论坛 | Office论坛 | 电脑硬件 | 安卓软件