ESET id 验证网页被挂马

luxiao200888

……无语了

[ 本帖最后由 luxiao200888 于 2008-10-4 12:31 编辑 ]

wangfeng66

DRWEB 没有被过阿。那个替换的WAB。EXE启发报了下载者了。 生成物压缩包DRWEB我就没测试。我在纳闷WAB。EXE是如何被替换了。后来对比了下MD5发现没有被替换。应该是那个WAB。EXE。Bmp搞得怪。这个BMP早让我DEL了。

promised

原帖由 wangfeng66 于 2008-10-4 11:53 发表
DRWEB 没有被过阿。那个替换的WAB。EXE启发报了下载者了。 生成物压缩包DRWEB我就没测试。我在纳闷WAB。EXE是如何被替换了。后来对比了下MD5发现没有被替换。应该是那个WAB。EXE。Bmp搞得怪。这个BMP早让我DEL了。

你不要再那里凭空猜测了
漏洞利用网页写得很清楚
你的wab.exe肯定被替换
如果你的wab.exe没有被替换
drweb也不会报告
只不过微软系统对系统文件有所监测
病毒文件运行失败
被系统监测到
而后系统用备份的wab.exe还原了而已
你可以自己删掉wab.exe试验，系统马上会帮你还原
至于bmp文件理论上是系统帮你的病毒文件作了备份

[ 本帖最后由 promised 于 2008-10-4 12:36 编辑 ]

wangfeng66

感谢楼上的解释。明白了。你说的没错。现在想想明白了。万恶的OFFICE漏洞阿

kkgh

瑞星拦截

qigang

Log is generated by FreShow.
[wide]http://vip.366tian.net/afei/nod32/1.htm
    [script]http://vip.366tian.net/afei/nod32/ajax.js
        [script]http://office.c4.fr/office.js?clie=2155&mid=601
    [script]http://s36.cnzz.com/stat.php?id=699579&web_id=699579&show=pic