Mezzanotte
28-11-2008, 10:01
Ciao a tutti.
Recentemente, messo sull'avviso da un collega, ho controllato l'eseguibile di un mio screensaver freeware, ZMatrix2k.exe.
Il mio AntivirPE aggiornato non segnala nulla di anomalo ma l'eseguibile è risultato infetto per 4 motori antivirus su 37 interrogati da VirusTotal per una media matematica del 10,82% di rischio.
Secondo eTrust-Vet l'eseguibile è infettato con Win32/VMalum.CWDE,
Panda si limita a segnalarlo come file sospetto
Per Symantec è un non meglio definito Trojan Horse
TrendMicro invece sostiene che si tratta di TROJ_SMALLTR.SG
Ho fatto delle ricerche su google cercando relazioni fra il file e questi presunti malaware, ma con scarsi risultati.
Se dovessi considerare il fatto che solo 4 antivirus su 37 lo considerano dannoso o sospetto potrei essere portato a pensare che si tratta di un falso positivo, ma i 4 responsi positivi vengono da antivirus piuttosto conosciuti.
La situazione è questa: lo screensaver mi piace, come posso essere sicuro che contenga qualcosa di dannoso?
Comunque ecco il log completo, non si sa mai.
File ZMatrix2k.exe received on 11.28.2008 10:35:44 (CET)Antivirus Version Last Update Result
AhnLab-V3 2008.11.27.4 2008.11.28 -
AntiVir 7.9.0.35 2008.11.28 -
Authentium 5.1.0.4 2008.11.28 -
Avast 4.8.1281.0 2008.11.27 -
AVG 8.0.0.199 2008.11.27 -
BitDefender 7.2 2008.11.28 -
CAT-QuickHeal 10.00 2008.11.28 -
ClamAV 0.94.1 2008.11.28 -
DrWeb 4.44.0.09170 2008.11.28 -
eSafe 7.0.17.0 2008.11.27 -
eTrust-Vet 31.6.6233 2008.11.27 Win32/VMalum.CWDE
Ewido 4.0 2008.11.27 -
F-Prot 4.4.4.56 2008.11.27 -
F-Secure 8.0.14332.0 2008.11.28 -
Fortinet 3.117.0.0 2008.11.28 -
GData 19 2008.11.28 -
Ikarus T3.1.1.45.0 2008.11.28 -
K7AntiVirus 7.10.536 2008.11.27 -
Kaspersky 7.0.0.125 2008.11.28 -
McAfee 5447 2008.11.27 -
McAfee+Artemis 5447 2008.11.27 -
Microsoft 1.4104 2008.11.28 -
NOD32 3647 2008.11.27 -
Norman 5.80.02 2008.11.27 -
Panda 9.0.0.4 2008.11.28 Suspicious file
PCTools 4.4.2.0 2008.11.27 -
Prevx1 V2 2008.11.28 -
Rising 21.05.40.00 2008.11.28 -
SecureWeb-Gateway 6.7.6 2008.11.28 -
Sophos 4.36.0 2008.11.28 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.28 Trojan Horse
TheHacker 6.3.1.1.166 2008.11.28 -
TrendMicro 8.700.0.1004 2008.11.28 TROJ_SMALLTR.SG
VBA32 3.12.8.9 2008.11.27 -
ViRobot 2008.11.28.1490 2008.11.28 -
VirusBuster 4.5.11.0 2008.11.27 -
Additional information
File size: 2071319 bytes
MD5...: ee0e9548dfc57261e0925ffa3498c58a
SHA1..: b1ca94247b5e73ad2a0d95c47d16a627969de267
SHA256: 3a75615a87a4d91e332b249cd87c11fd545942324b925ab1e914ed0aa183c4c1
SHA512: df5bdb864deecd75b90ef804b6895b02a90705b871861f072c148c823df2fb64<BR>bdc95ed1b153ecc5821afa4edbb3f6203df3ce3d8540e450578194ca16322d92<BR>
ssdeep: 49152:1VqlumI9kEDYPcElBEVI0M6UcmgdWbt6SWX:1V6umIKoEnE20M6dmgd1SW<BR>X<BR>
PEiD..: -
TrID..: File type identification<BR>Inno Setup installer (86.2%)<BR>Win32 Executable Delphi generic (10.7%)<BR>Generic Win/DOS Executable (1.4%)<BR>DOS Executable Generic (1.4%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x40bf98<BR>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 8 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>CODE 0x1000 0xb650 0xb800 6.48 bc5334998abaf31029032a2c3f6e108b<BR>DATA 0xd000 0x17e0 0x1800 3.27 6c7aac7d18fbb9ea65229e6ebde18816<BR>BSS 0xf000 0x1194 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.idata 0x11000 0x75e 0x800 4.53 8f5d13420b574360d07b7076ddb1a364<BR>.tls 0x12000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rdata 0x13000 0x18 0x200 0.21 c233c0ea7d984808a57c6681c85abaad<BR>.reloc 0x14000 0x854 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rsrc 0x15000 0x2400 0x2400 4.35 c328cfd5e0baed7d456054e17b739e7d<BR><BR>( 8 imports ) <BR>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, ExitProcess, CreateFileA, CloseHandle<BR>> user32.dll: MessageBoxA<BR>> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen<BR>> advapi32.dll: OpenProcessToken, LookupPrivilegeValueA<BR>> kernel32.dll: Sleep, SetLastError, SetErrorMode, GetWindowsDirectoryA, GetVersionExA, GetTempFileNameA, GetSystemDefaultLCID, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetCPInfo, FormatMessageA, DeleteFileA, CreateProcessA, CloseHandle<BR>> user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, GetSystemMetrics, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA, CharNextA<BR>> comctl32.dll: InitCommonControls<BR>> advapi32.dll: AdjustTokenPrivileges<BR><BR>( 0 exports ) <BR>
Recentemente, messo sull'avviso da un collega, ho controllato l'eseguibile di un mio screensaver freeware, ZMatrix2k.exe.
Il mio AntivirPE aggiornato non segnala nulla di anomalo ma l'eseguibile è risultato infetto per 4 motori antivirus su 37 interrogati da VirusTotal per una media matematica del 10,82% di rischio.
Secondo eTrust-Vet l'eseguibile è infettato con Win32/VMalum.CWDE,
Panda si limita a segnalarlo come file sospetto
Per Symantec è un non meglio definito Trojan Horse
TrendMicro invece sostiene che si tratta di TROJ_SMALLTR.SG
Ho fatto delle ricerche su google cercando relazioni fra il file e questi presunti malaware, ma con scarsi risultati.
Se dovessi considerare il fatto che solo 4 antivirus su 37 lo considerano dannoso o sospetto potrei essere portato a pensare che si tratta di un falso positivo, ma i 4 responsi positivi vengono da antivirus piuttosto conosciuti.
La situazione è questa: lo screensaver mi piace, come posso essere sicuro che contenga qualcosa di dannoso?
Comunque ecco il log completo, non si sa mai.
File ZMatrix2k.exe received on 11.28.2008 10:35:44 (CET)Antivirus Version Last Update Result
AhnLab-V3 2008.11.27.4 2008.11.28 -
AntiVir 7.9.0.35 2008.11.28 -
Authentium 5.1.0.4 2008.11.28 -
Avast 4.8.1281.0 2008.11.27 -
AVG 8.0.0.199 2008.11.27 -
BitDefender 7.2 2008.11.28 -
CAT-QuickHeal 10.00 2008.11.28 -
ClamAV 0.94.1 2008.11.28 -
DrWeb 4.44.0.09170 2008.11.28 -
eSafe 7.0.17.0 2008.11.27 -
eTrust-Vet 31.6.6233 2008.11.27 Win32/VMalum.CWDE
Ewido 4.0 2008.11.27 -
F-Prot 4.4.4.56 2008.11.27 -
F-Secure 8.0.14332.0 2008.11.28 -
Fortinet 3.117.0.0 2008.11.28 -
GData 19 2008.11.28 -
Ikarus T3.1.1.45.0 2008.11.28 -
K7AntiVirus 7.10.536 2008.11.27 -
Kaspersky 7.0.0.125 2008.11.28 -
McAfee 5447 2008.11.27 -
McAfee+Artemis 5447 2008.11.27 -
Microsoft 1.4104 2008.11.28 -
NOD32 3647 2008.11.27 -
Norman 5.80.02 2008.11.27 -
Panda 9.0.0.4 2008.11.28 Suspicious file
PCTools 4.4.2.0 2008.11.27 -
Prevx1 V2 2008.11.28 -
Rising 21.05.40.00 2008.11.28 -
SecureWeb-Gateway 6.7.6 2008.11.28 -
Sophos 4.36.0 2008.11.28 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.28 Trojan Horse
TheHacker 6.3.1.1.166 2008.11.28 -
TrendMicro 8.700.0.1004 2008.11.28 TROJ_SMALLTR.SG
VBA32 3.12.8.9 2008.11.27 -
ViRobot 2008.11.28.1490 2008.11.28 -
VirusBuster 4.5.11.0 2008.11.27 -
Additional information
File size: 2071319 bytes
MD5...: ee0e9548dfc57261e0925ffa3498c58a
SHA1..: b1ca94247b5e73ad2a0d95c47d16a627969de267
SHA256: 3a75615a87a4d91e332b249cd87c11fd545942324b925ab1e914ed0aa183c4c1
SHA512: df5bdb864deecd75b90ef804b6895b02a90705b871861f072c148c823df2fb64<BR>bdc95ed1b153ecc5821afa4edbb3f6203df3ce3d8540e450578194ca16322d92<BR>
ssdeep: 49152:1VqlumI9kEDYPcElBEVI0M6UcmgdWbt6SWX:1V6umIKoEnE20M6dmgd1SW<BR>X<BR>
PEiD..: -
TrID..: File type identification<BR>Inno Setup installer (86.2%)<BR>Win32 Executable Delphi generic (10.7%)<BR>Generic Win/DOS Executable (1.4%)<BR>DOS Executable Generic (1.4%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x40bf98<BR>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 8 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>CODE 0x1000 0xb650 0xb800 6.48 bc5334998abaf31029032a2c3f6e108b<BR>DATA 0xd000 0x17e0 0x1800 3.27 6c7aac7d18fbb9ea65229e6ebde18816<BR>BSS 0xf000 0x1194 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.idata 0x11000 0x75e 0x800 4.53 8f5d13420b574360d07b7076ddb1a364<BR>.tls 0x12000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rdata 0x13000 0x18 0x200 0.21 c233c0ea7d984808a57c6681c85abaad<BR>.reloc 0x14000 0x854 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rsrc 0x15000 0x2400 0x2400 4.35 c328cfd5e0baed7d456054e17b739e7d<BR><BR>( 8 imports ) <BR>> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, ExitProcess, CreateFileA, CloseHandle<BR>> user32.dll: MessageBoxA<BR>> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen<BR>> advapi32.dll: OpenProcessToken, LookupPrivilegeValueA<BR>> kernel32.dll: Sleep, SetLastError, SetErrorMode, GetWindowsDirectoryA, GetVersionExA, GetTempFileNameA, GetSystemDefaultLCID, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetCPInfo, FormatMessageA, DeleteFileA, CreateProcessA, CloseHandle<BR>> user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, GetSystemMetrics, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA, CharNextA<BR>> comctl32.dll: InitCommonControls<BR>> advapi32.dll: AdjustTokenPrivileges<BR><BR>( 0 exports ) <BR>