求救:有个家伙给我发不明可执行文件,怎么分析是否带木马或病毒?


这家伙是:cfzhang@ibm320h.phy.pku.edu.cn
连续给我发三封信,带3个文件:
attach0.txt              94字节      
      一个UNIX格式的文本文件
image1.zip.pif           152239字节  
      一个做成Windows快捷方式的可执行文件,估计是用BCB做的。
EST-GENEapplic1.doc.bat  245760字节  
      一个做成自动批处理的可执行文件,其中用到socket,调用DeleteFile等函数,登记注册表等操作。


这些文件已经下到本地PC机,但是,除了文本文件打开外,其它两个我不敢打开,现请教各位大侠,这些文件有问题吗?怎么分析?

如果需要源文件,请向我发邮件:tuabo@china.com

谢先!

15 个解决方案

#1


八成是木马,可以用杀毒软件查查看

#2


   扩展名弄成这个形式绝对是含有恶意代码的东东。想看这些文件又不
想被传染,也可以。直接打开记事本,然后用记事本上的打开命令(选
所有文件),找到这个文件打开,看看是什么垃圾。
   当然前提是你先把这些附件另存到一个目录中,才能做上述操作。

#3


是sircam病毒

新的金山毒库能杀

#4


果然是Sircam病毒,我更新AntiVirus后马上查出!
但是不知道它的症状是怎么样,其中有没有包含木马。

查看这些文件,还出现这些内容:
有邮箱:cfzhang@th.phy.pku.edu.cn
调用RegisterServiceProcess函数,表示该程序运行后用C-A-D看不到。
其中用到SMTP功能,表示这程序应该向外发邮件

#5


肯定是木马!不行你就运行试试!然后分析一下时那种,就可以杀掉了

#6


我也碰到了,也是.zip.pif后缀的文件,解开后有一堆dephi源文件和一个可执行文件,不小心中招了,用Nav只能隔离无法清除。这个sircam病毒好厉害啊,竟然位于C:\recycled\SirC32.exe,清空了回收站也没用,查找是找不到该文件的,但好像和C:\windows\system\scam32.exe文件有关,把scam32删了,过了一会它回到原来的位置,不知道是怎么弄的,有哪位高手知道,请指教一下。

#7


是注册表给修改了,去修改回来吧。具体是哪里,没见到过,所以,我不知道。

#8


我最近总是收到如下内容的信,还带有一个附件,靠,全让我删除了,每天都有,还来自不同的地址,不知道你们有没有收到过?

Hi! How are you?
 
I send you this file in order to have your advice
 
See you later. Thanks

#9


to netying(鹰击长空):
对,我就是收到同样内容的信,开始用Nav没查出毒来,后来是升级了最新的病毒库才查出来的。
可是我还是不明白它的原理。有哪位大侠知道的?我查了注册表,把runXX键下相关值删除,可是过一会,那两个值又都回来了。
其中一个在HLM\software\microsoft\windows\currentversion\RunServices下,键名Drive32 键值 "C:\windows\system\scam32.exe"
老是删不掉,现在总算已经用Nav隔离了。:)

#10


是sircam病毒
文件内容一般是--Hi,how are you!
主要删除 C 盘,及发送My documents下的文件(泄密)!!

#11


从文件的扩展名来看,是一般木马常有手段,你可以有文本编辑器打开看进而分析!

#12


对于sircam病毒的完全清楚办法现在还没有找到。
至于简单的隔离,好像最新的sircam病毒版本已经可以修补自己的bug了!
也就是说,对于最新的sircam病毒版本还没有好的办法可以根本解决!!

请各位网友注意带有PKU(呵呵~~是网络创世纪中的一种说法,就是kill you 的意思)后缀的地址千万要小心,似乎是一个私人的组织!

#13



pku是北京大学的简称

文件中含有地址:cfzhang@th.phy.pku.edu.cn     -- 北大物理系
但是不知道是不是伪造的。


#14


参见-->
转贴:SirCam病毒症状分析及其解决方法  
http://www.csdn.net/expert/topicview1.asp

#15


把名字改成这样,不用说就不是好东西啦!杀!!!!!!!
智能推荐

注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
© 2014-2019 ITdaan.com 粤ICP备14056181号  

赞助商广告