9,506
社区成员
发帖
与我相关
我的任务
分享求救:有个家伙给我发不明可执行文件,怎么分析是否带木马或病毒?
这家伙是:cfzhang@ibm320h.phy.pku.edu.cn
连续给我发三封信,带3个文件:
attach0.txt 94字节
一个UNIX格式的文本文件
image1.zip.pif 152239字节
一个做成Windows快捷方式的可执行文件,估计是用BCB做的。
EST-GENEapplic1.doc.bat 245760字节
一个做成自动批处理的可执行文件,其中用到socket,调用DeleteFile等函数,登记注册表等操作。
这些文件已经下到本地PC机,但是,除了文本文件打开外,其它两个我不敢打开,现请教各位大侠,这些文件有问题吗?怎么分析?
如果需要源文件,请向我发邮件:tuabo@china.com
谢先!
连续给我发三封信,带3个文件:
attach0.txt 94字节
一个UNIX格式的文本文件
image1.zip.pif 152239字节
一个做成Windows快捷方式的可执行文件,估计是用BCB做的。
EST-GENEapplic1.doc.bat 245760字节
一个做成自动批处理的可执行文件,其中用到socket,调用DeleteFile等函数,登记注册表等操作。
这些文件已经下到本地PC机,但是,除了文本文件打开外,其它两个我不敢打开,现请教各位大侠,这些文件有问题吗?怎么分析?
如果需要源文件,请向我发邮件:tuabo@china.com
谢先!
...全文
请发表友善的回复…
发表回复
92638 2001-08-24
- 打赏
- 举报
把名字改成这样,不用说就不是好东西啦!杀!!!!!!!
tuabo 2001-08-23
- 打赏
- 举报
参见-->
转贴:SirCam病毒症状分析及其解决方法
http://www.csdn.net/expert/topicview1.asp
转贴:SirCam病毒症状分析及其解决方法
http://www.csdn.net/expert/topicview1.asp
tuabo 2001-08-20
- 打赏
- 举报
pku是北京大学的简称
文件中含有地址:cfzhang@th.phy.pku.edu.cn -- 北大物理系
但是不知道是不是伪造的。
erhu0815 2001-08-20
- 打赏
- 举报
对于sircam病毒的完全清楚办法现在还没有找到。
至于简单的隔离,好像最新的sircam病毒版本已经可以修补自己的bug了!
也就是说,对于最新的sircam病毒版本还没有好的办法可以根本解决!!
请各位网友注意带有PKU(呵呵~~是网络创世纪中的一种说法,就是kill you 的意思)后缀的地址千万要小心,似乎是一个私人的组织!
至于简单的隔离,好像最新的sircam病毒版本已经可以修补自己的bug了!
也就是说,对于最新的sircam病毒版本还没有好的办法可以根本解决!!
请各位网友注意带有PKU(呵呵~~是网络创世纪中的一种说法,就是kill you 的意思)后缀的地址千万要小心,似乎是一个私人的组织!
qiwei 2001-08-20
- 打赏
- 举报
从文件的扩展名来看,是一般木马常有手段,你可以有文本编辑器打开看进而分析!
saturday 2001-08-20
- 打赏
- 举报
是sircam病毒
文件内容一般是--Hi,how are you!
主要删除 C 盘,及发送My documents下的文件(泄密)!!
文件内容一般是--Hi,how are you!
主要删除 C 盘,及发送My documents下的文件(泄密)!!
estone 2001-08-18
- 打赏
- 举报
to netying(鹰击长空):
对,我就是收到同样内容的信,开始用Nav没查出毒来,后来是升级了最新的病毒库才查出来的。
可是我还是不明白它的原理。有哪位大侠知道的?我查了注册表,把runXX键下相关值删除,可是过一会,那两个值又都回来了。
其中一个在HLM\software\microsoft\windows\currentversion\RunServices下,键名Drive32 键值 "C:\windows\system\scam32.exe"
老是删不掉,现在总算已经用Nav隔离了。:)
对,我就是收到同样内容的信,开始用Nav没查出毒来,后来是升级了最新的病毒库才查出来的。
可是我还是不明白它的原理。有哪位大侠知道的?我查了注册表,把runXX键下相关值删除,可是过一会,那两个值又都回来了。
其中一个在HLM\software\microsoft\windows\currentversion\RunServices下,键名Drive32 键值 "C:\windows\system\scam32.exe"
老是删不掉,现在总算已经用Nav隔离了。:)
netying 2001-08-18
- 打赏
- 举报
我最近总是收到如下内容的信,还带有一个附件,靠,全让我删除了,每天都有,还来自不同的地址,不知道你们有没有收到过?
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
StepBoy 2001-08-18
- 打赏
- 举报
是注册表给修改了,去修改回来吧。具体是哪里,没见到过,所以,我不知道。
estone 2001-08-18
- 打赏
- 举报
我也碰到了,也是.zip.pif后缀的文件,解开后有一堆dephi源文件和一个可执行文件,不小心中招了,用Nav只能隔离无法清除。这个sircam病毒好厉害啊,竟然位于C:\recycled\SirC32.exe,清空了回收站也没用,查找是找不到该文件的,但好像和C:\windows\system\scam32.exe文件有关,把scam32删了,过了一会它回到原来的位置,不知道是怎么弄的,有哪位高手知道,请指教一下。
ningyp 2001-08-18
- 打赏
- 举报
肯定是木马!不行你就运行试试!然后分析一下时那种,就可以杀掉了
tuabo 2001-08-16
- 打赏
- 举报
果然是Sircam病毒,我更新AntiVirus后马上查出!
但是不知道它的症状是怎么样,其中有没有包含木马。
查看这些文件,还出现这些内容:
有邮箱:cfzhang@th.phy.pku.edu.cn
调用RegisterServiceProcess函数,表示该程序运行后用C-A-D看不到。
其中用到SMTP功能,表示这程序应该向外发邮件
但是不知道它的症状是怎么样,其中有没有包含木马。
查看这些文件,还出现这些内容:
有邮箱:cfzhang@th.phy.pku.edu.cn
调用RegisterServiceProcess函数,表示该程序运行后用C-A-D看不到。
其中用到SMTP功能,表示这程序应该向外发邮件
pgcat 2001-08-16
- 打赏
- 举报
是sircam病毒
新的金山毒库能杀
新的金山毒库能杀
ego 2001-08-15
- 打赏
- 举报
扩展名弄成这个形式绝对是含有恶意代码的东东。想看这些文件又不
想被传染,也可以。直接打开记事本,然后用记事本上的打开命令(选
所有文件),找到这个文件打开,看看是什么垃圾。
当然前提是你先把这些附件另存到一个目录中,才能做上述操作。
想被传染,也可以。直接打开记事本,然后用记事本上的打开命令(选
所有文件),找到这个文件打开,看看是什么垃圾。
当然前提是你先把这些附件另存到一个目录中,才能做上述操作。
ddeng 2001-08-15
- 打赏
- 举报
八成是木马,可以用杀毒软件查查看
