关于红伞报SREng日志的一点说明

显示全部楼层 · 发表于 2008-6-22 01:24:16

近来有卡饭反应红伞的启发式引擎报SREng日志为HEUR/HTML.Malware
个人研究了下，将结果与大家分享。

先看一段代码：

BD96C556-65A3-11D0-983A-00C04FC29E36
Execute
.exe

复制代码

将上面这段代码复制，然后再保存到一个TXT里，用红伞扫描之(扫描时注意在文件类型处勾选全部文件)，看看是不是报HEUR/HTML.Malware

注意：上面三行代码顺序可以互换，但代码末端必须跟有其他字符或空格或空行(也就是说不能以以上三行代码结尾)

这个实验证明红伞的启发式引擎报HEUR/HTML.Malware时会检查以上三个特征字符串

那么为什么红伞要报含有这三个字符串的文本文件？

BD96C556-65A3-11D0-983A-00C04FC29E36就是惊爆MS07-017和MS06-014漏洞所涉及的CLSID。在网页挂马中，针对MS06-014漏洞的挂马往往是第一个冲锋陷阵的；利用该漏洞挂马是网页挂马中最常见的挂马方式之一。
Execute，即执行或运行的意思。
.exe是可执行文件的扩展名

那么这三个字符串同时出现时，则很可能是利用MS06-014漏洞挂马的文档。因此红伞的启发式引擎会报HEUR/HTML.Malware。

显示全部楼层 · 发表于 2008-6-22 01:25:56

感谢分享

显示全部楼层 · 发表于 2008-6-22 02:26:51

其实最郁闷的是这个
http://bbs.kafan.cn/viewthread.php?tid=272578
明明是乱码

显示全部楼层 · 发表于 2008-6-22 08:30:24

这样也行，摆明了宁可错杀一千，不可放过一个。

显示全部楼层 · 发表于 2008-6-22 17:11:47

学习了``````````````````

显示全部楼层 · 发表于 2008-6-22 17:13:57

哦
好厉害哦
嘻嘻
学习了啊

显示全部楼层 · 发表于 2008-6-22 17:15:42

开高启发才会报........

[讨论] 关于红伞报SREng日志的一点说明

浏览过的版块