temp下的隐藏可执行文件 bbs.ikaka.com

叶陵君 - 2008-9-26 19:22:00

昨天在删除系统临时文件，在temp目录下遇到一个隐藏的可执行文件。

文件下载：

附件: 您所在的用户组无法下载或查看附件

感觉有点可疑，提交到在线扫描可疑文件的网站，扫描结果如下：

VirSCAN.org Scanned Report :
Scanned time : 2008/09/26 19:14:45 (CST)
Scanner results: 22%的杀软(8/37)报告发现病毒
File Name : CF06674C-EDA6-48df-B12C-F810984ACF54.rar
File Size : 1555 byte
File Type : RAR archive data, v1d, os
MD5 : d04214594a63ec9314b1c1d6db5eeb91
SHA1 : 0c558a21b3e735651a1c8dadb04331f7a7829d2d
Online report : http://virscan.org/report/f90c49dcf6a237acfdb6659c8aa31872.html
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.0.0.14 2008.09.25 2008-09-25 1.44 -
安博士V3 2008.09.26.01 2008.09.26 2008-09-26 1.15 Win-AppCare/Cleanup.3584
AntiVir 7.8.1.34 7.0.6.216 2008-09-26 2.35 -
Arcavir 1.0.5 200809251642 2008-09-25 1.23 -
Authentium 5.1.1 200809241708 2008-09-24 1.02 -
AVAST! 3.0.1 080925-0 2008-09-25 0.00 -
AVG 7.5.52.442 270.7.3/1693 2008-09-26 1.60 -
BitDefender 7.60825.1814228 7.21042 2008-09-26 3.11 Trojan.Generic.287516
CA (VET) 9.0.0.143 31.6.6108 2008-09-26 7.38 -
ClamAV 0.94 8342 2008-09-26 0.01 -
Comodo 2.11 2.0.0.658 2008-09-26 0.43 -
CP Secure 1.1.0.715 2008.09.26 2008-09-26 5.81 Troj.W32.Delf.bwf
Dr.Web 4.44.0.9170 2008.09.26 2008-09-26 3.25 -
ewido 4.0.0.2 2008.09.26 2008-09-26 3.50 -
F-Prot 4.4.4.56 20080925 2008-09-25 1.06 -
F-Secure 5.51.6100 2008.09.26.03 2008-09-26 0.04 -
飞塔 2.81-3.113 9.589 2008-09-26 0.20 Cleanup
ViRobot 20080925 2008.09.25 2008-09-25 0.40 -
Ikarus T3.1.01.34 2008.09.26.71532 2008-09-26 3.34 Trojan.Generic
江民杀毒 11.0.706 2008.09.26 2008-09-26 1.23 -
卡巴斯基 5.5.10 2008.09.26 2008-09-26 0.03 -
金山毒霸 2008.1.14.15 2008.9.26.17 2008-09-26 0.66 -
迈克菲 5.3.00 5392 2008-09-25 1.96 -
Microsoft 1.3903 2008.09.26 2008-09-26 3.98 -
mks_vir 2.01 2008.09.25 2008-09-25 2.58 -
Norman 5.93.01 5.93.00 2008-09-18 5.37 W32/KillFiles.WN
熊猫卫士 9.05.01 2008.09.25 2008-09-25 2.15 Generic Trojan
趋势科技 8.700-1004 5.568.07 2008-09-26 0.02 -
Quick Heal 9.50 2008.09.26 2008-09-26 1.76 -
瑞星 20.0 20.63.42.00 2008-09-26 0.78 -
Sophos 2.79.0 4.34 2008-09-26 1.66 -
Sunbelt 3.1.1668.1 2256 2008-09-24 0.45 -
赛门铁克 1.3.0.24 20080925.003 2008-09-25 0.05 -
nProtect 2008-09-26.00 2173927 2008-09-26 4.16 -
The Hacker 6.3.0.9 v00094 2008-09-25 0.40 Trojan/KillFiles.uy
VBA32 3.12.8.6 20080925.1312 2008-09-25 1.30 -
VirusBuster 4.5.11.10 10.88.7/635792 2008-09-25 0.82 -

还是无法确定，用tiny 在虚拟机跟踪了下，结果如下

附件: 您所在的用户组无法下载或查看附件

去system32目录检查了下这些动态链接库，均为正常系统文件，也就是隐藏文件是系统释放的，系统为什么要加隐藏呢？？？不解:default11:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; CIBA; TheWorld)

轩辕小聪 - 2008-9-27 15:31:00

“系统为什么要加隐藏”这句话是啥意思？

叶陵君 - 2008-9-28 0:46:00

应该是我一厢情愿，我希望所有文件都不被隐藏。。。。

我是关于 - 2008-9-28 14:21:00

temp下的可执行文件基本上都是病毒，几乎都是通过访问网站感染的

魔法学徒 - 2008-9-28 16:37:00

引用:

原帖由 我是关于 于 2008-9-28 14:21:00 发表
temp下的可执行文件基本上都是病毒，几乎都是通过访问网站感染的

你从哪儿听说的？

最硬的石头 - 2008-9-28 17:13:00

引用:

原帖由 我是关于 于 2008-9-28 14:21:00 发表
temp下的可执行文件基本上都是病毒，几乎都是通过访问网站感染的

很多软件都是先把自己释放到%temp%下再运行的

瑞星卡卡安全论坛