PENETCFGCHT是病毒??

ffrr

今天用XPE 2009/09/09
在:\OUTTOOL\WIMMOD\DRIVERS.WIM\NET\PENETCFGCHT.EXE
用來設定網路IPCONFIG的程式，這個檔案被防毒軟體判成病毒Trojan
查詢PENETCFGCHT.EXE的SHA256是

SHA256:

ab7c394a6093f94e4108bb2d90f5a65136c1b03c36291b5a7109ae09939933dc

難道我抓到有問題的版本嘛 囧

https://www.virustotal.com/en/fi ... nalysis/1397181617/

woodylin

哈...我想，這可能連noname站長都不清楚，這可能要去問2007年當時
繁化的gopc大大^^，只是他怎麼會不知道Pierre Mounir有弄成多語版，
http://www.nonameteam.cc/thread-54-1-1.html

會有病毒，我想這應該是繁化的後遺症吧，老朽也樂於對它小測一下...

Pierre Mounir(TheTruth)是在2003年做出PENetCfg首次發行是要付費的v2.2，
之後陸續發行v2.3、v2.34、v2.40...

版本 ver 2.3.0.0(32bit)原版多語系是乾淨的︰
SHA256:        f11499a451564fbf20a5a581123ce90a1dd2ff2f050d1ce304312d8da497814f
File name:        PENetCfg.exe
Detection ratio:         0 / 42

我把2007年我愛靜賢姐那版的NoName XPE把PENETCFGCHT.exe抓下來，
它是2007年6月4日，上午 09:53:16、333 KB (341,572 位元組)、ver 2.3，
virustotal 的報告︰
SHA256:        ab7c394a6093f94e4108bb2d90f5a65136c1b03c36291b5a7109ae09939933dc
File name:        PENETCFGCHT.EXE
Detection ratio:         36 / 50
Analysis date:         2014-04-12 05:10:10 UTC ( 1 minute ago )

我再把Pierre Mounir(TheTruth)其他二個都放到virustotal 去檢查︰

版本 ver 2.3.4.0(32bit)
SHA256:        44817c8a442e1bf14cd4af21ffd9cd10aa6f4b22db31f664ce924ca7d64cce07
File name:        PENetCfg.exe
Detection ratio:         0 / 42

版本 ver 2.4.0.0(32bit)
SHA256:        44817c8a442e1bf14cd4af21ffd9cd10aa6f4b22db31f664ce924ca7d64cce07
File name:        PENetCfg.exe
Detection ratio:         0 / 42

因此，可見中文化後的PENetCfgCHT.exe在virustotal 的報告是有臭蟲的，
網上大大若擔心有漏洞問題，我可以提供下述乾淨的版本供大家改版時使用，
需要的大大要說明要那個版本...

p.s.:
建議有下載官版的大大要留意，要修改PENetCfg.ini的內容Pierre Mounir
有留個後門在裡面...
[FileSharing]
StartFileSharingService = Yes
AdminAccount            = Pierre
; AdminPassword         = 123456
---------------------------------------------------------------------------------------
PENetCfg v2.40 (32-bit & 64-bit):
Download (1.57 MB)


PENetCfg v2.34 (32-bit only):
Download (588 KB)

PENetCfg v2.30 Multilanguage (Beta): (語系可選擇有繁中)
Download (414 KB)

阿達金田一

個人覺的那是被 加殼 導致誤判 (當然到底有沒有毒...可能要把 殼 脫乾淨才知道)

PeNetCfg 官方下載下來的是用 UPX 壓縮...可以用 UPX 解壓 (解壓後檔案都在 1M 以上)
UPX 解壓後...重新用 WinUPack 加殼 ...丟到 www.virustotal.com 掃瞄...就會被掃到有毒

其實 www.virustotal.com 只是用多種 掃防毒軟體 去掃瞄上傳的檔案
Detection ratio:         35 / 51
這只是掃防毒軟體 的掃瞄結果 ( 51 種中 有 35 種掃瞄為有毒 )
www.virustotal.com 有注明每種掃防毒軟體...的判斷結果...

樓主貼的網址....其中有很多結果有 pack 吧

用網上找的 WinUPack 脫殼程式 隨便脫一下(沒脫乾淨...這個我不會)...掃瞄就變這樣
https://www.virustotal.com/zh-tw ... bd35d6eb7/analysis/

mygodvl

原樓主可看之前的舊帖 8 樓
PENetCfg V2.40 X86 繁體中文版.
檔案仍然可以下載.
penetcfg2.34~2.40(NEW)(引用)

VirusTotal 偵測率:3/50
SHA256:        380b94e68d93e1deaf7202f5d70f3ec13568d2caae08b6c4197b97eaeeea9324
檔案名稱: PENetCfg_中文版.exe
偵測率  : 3/50
分析日期: 2014-04-13

ffrr

可以請問版友手上的xpe20090909 ISO的MD5嗎?
不知道下面這個是不是正確的?
MD5:9933235629832795b329cde499834067

另外今天將OUTTOOL\WIMMOD\*.WIM解壓縮
掃到了不少毒?!

\OUTTOOL\WIMMOD\ERD [系統救援]\1\BOOTICE.EXE'                          [偵測] 是 TR/Dropper.Gen 特洛伊木馬程式
\OUTTOOL\WIMMOD\ERD [系統救援]\1\COMMON.DLL'                          [偵測] 是 TR/Crypt.XPACK.Gen3 特洛伊木馬程式
\OUTTOOL\WIMMOD\ERD [系統救援]\1\DISKMANAGERAPIDLL.DLL'          [偵測] 是 TR/Crypt.XPACK.Gen3 特洛伊木馬程式
\OUTTOOL\WIMMOD\ERD [系統救援]\1\DUNZIP32.DLL'                          [偵測] 是 TR/Crypt.XPACK.Gen3 特洛伊木馬程式
\OUTTOOL\WIMMOD\ERD [系統救援]\1\DZIP32.DLL'                              [偵測] 是 TR/Crypt.XPACK.Gen3 特洛伊木馬程式
\OUTTOOL\WIMMOD\GHOST [系統備份還原]\1\GHOSTSRV11.exe'           [偵測] 是 TR/Agent.615816 特洛伊木馬程式
\OUTTOOL\WIMMOD\TeamViewer\1\TeamViewer.exe'                             [偵測] 是 TR/Buzus.bxvu 特洛伊木馬程式
\OUTTOOL\WIMMOD\VDM [虛擬光碟機]\1\VDM.EXE'                             [偵測] 是 TR/Dldr.Dakedam.DK 特洛伊木馬程式
\OUTTOOL\WIMMOD\WIMTOOL [WIM製作編輯軟體]\Files\2'                  [偵測] 是 TR/Inject.423936.X 特洛伊木馬程式
\OUTTOOL\WIMMOD\WINPM7 [硬碟分割軟體]\1\WINPM.EXE'                 [偵測] 是 TR/Spy.304885 特洛伊木馬程式
\OUTTOOL\WIMMOD\防毒小工具 [防毒類]\1\FolderCure.exe'                  [偵測] 是 TR/VB.AED.199 特洛伊木馬程式