红伞误报*1

syfwxmh

VirSCAN.org Scanned Report :
Scanned time   : 2008/11/29 16:14:02 (CST)
Scanner results: 3%的杀软(1/39)报告发现病毒
File Name      : kdbd_05[1].rar
File Size      : 3803 byte
File Type      : RAR archive data, v1d, os
MD5            : 4d26dfed06b7ad7d712633774e361519
SHA1           : 26c2f5ef3c84ba0d75de41afe163cc570446c601
Online report  : http://virscan.org/report/a9747fd06557394db164ce7cce2503d0.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.0.0.26        20081127213325    2008-11-27  3.47   -
安博士V3       2008.11.29.00   2008.11.29        2008-11-29  1.60   -
AntiVir        7.9.0.36        7.1.0.157         2008-11-28  1.65   HTML/Infected.WebPage.Gen
安天           2.0.18          20081129.1772504  2008-11-29  0.12   -
Arcavir        1.0.5           200811231052      2008-11-23  1.19   -
Authentium     5.1.1           200811281656      2008-11-28  1.05   -
AVAST!         3.0.1           081128-0          2008-11-28  0.74   -
AVG            7.5.52.442      270.9.11/1818     2008-11-28  1.78   -
BitDefender    7.81008.2276246 7.22167           2008-11-29  2.09   -
CA (VET)       9.0.0.143       31.6.6234         2008-11-28  8.94   -
ClamAV         0.94.1          8695              2008-11-29  0.01   -
Comodo         2.11            2.0.0.712         2008-11-20  1.58   -
CP Secure      1.1.0.715       2008.11.29        2008-11-29  6.45   -
Dr.Web         4.44.0.9170     2008.11.29        2008-11-29  3.62   -
ewido          4.0.0.2         2008.11.28        2008-11-28  3.12   -
F-Prot         4.4.4.56        20081128          2008-11-28  1.13   -
F-Secure       5.51.6100       2008.11.29.01     2008-11-29  3.86   -
飞塔           2.81-3.117      9.755             2008-11-28  0.21   -
GData          19.1721/19.127  20081129          2008-11-29  3.78   -
ViRobot        20081128        2008.11.28        2008-11-28  0.68   -
Ikarus         T3.1.01.45      2008.11.29.71930  2008-11-29  3.62   -
江民杀毒       11.0.706        2008.11.29        2008-11-29  3.37   -
卡巴斯基       5.5.10          2008.11.29        2008-11-29  0.03   -
金山毒霸       2008.9.8.18     2008.11.28.20     2008-11-28  1.25   -
迈克菲         5.3.00          5448              2008-11-28  2.52   -
Microsoft      1.4104          2008.11.29        2008-11-29  4.51   -
mks_vir        2.01            2008.11.17        2008-11-17  2.58   -
Norman         5.93.01         5.93.00           2008-11-28  5.54   -
熊猫卫士       9.05.01         2008.11.28        2008-11-28  2.37   -
趋势科技       8.700-1004      5.682.17          2008-11-28  0.03   -
Quick Heal     10.00           2008.11.29        2008-11-29  0.85   -
瑞星           20.0            21.05.51.00       2008-11-29  0.26   -
Sophos         2.81.2          4.36              2008-11-29  1.89   -
Sunbelt        4674            4674              2008-11-04  0.52   -
赛门铁克       1.3.0.24        20081128.033      2008-11-28  0.06   -
nProtect       2008-11-28.00   2630992           2008-11-28  3.50   -
The Hacker     6.3.1.1         v00166            2008-11-27  0.44   -
VBA32          3.12.8.9        20081128.0832     2008-11-28  1.35   -
VirusBuster    4.5.11.10       10.94.9/729443    2008-11-28  0.91   -

红伞误报*1

挪威的冬天

被 GEN 的东西不会指这个吧 - -

<iframe width=0 height=0 frameborder="0" align="middle" marginheight="0" marginwidth="0"  scrolling="no" name=bbn frameborder=0 src=http://202.106.182.44/alexa/indexadsl.asp></iframe>

挪威的冬天

ORZ

果然是...


File test.htm received on 11.29.2008 09:20:56 (CET)
Antivirus        Version        Last Update        Result
AhnLab-V3        2008.11.28.2        2008.11.28        -
AntiVir        7.9.0.36        2008.11.28        HTML/Infected.WebPage.Gen
Authentium        5.1.0.4        2008.11.28        HTML/Iframe.A!Camelot
Avast        4.8.1281.0        2008.11.28        -
AVG        8.0.0.199        2008.11.29        -
BitDefender        7.2        2008.11.29        -
CAT-QuickHeal        10.00        2008.11.29        -
ClamAV        0.94.1        2008.11.29        -
DrWeb        4.44.0.09170        2008.11.29        -
eSafe        7.0.17.0        2008.11.27        -
eTrust-Vet        31.6.6234        2008.11.28        -
Ewido        4.0        2008.11.28        -
F-Prot        4.4.4.56        2008.11.28        -
F-Secure        8.0.14332.0        2008.11.29        -
Fortinet        3.117.0.0        2008.11.29        -
GData        19        2008.11.29        -
Ikarus        T3.1.1.45.0        2008.11.29        -
K7AntiVirus        7.10.537        2008.11.28        -
Kaspersky        7.0.0.125        2008.11.29        -
McAfee        5448        2008.11.28        -
McAfee+Artemis        5448        2008.11.28        -
Microsoft        1.4104        2008.11.29        -
NOD32        3650        2008.11.28        -
Norman        5.80.02        2008.11.28        -
Panda        9.0.0.4        2008.11.29        -
PCTools        4.4.2.0        2008.11.28        -
Prevx1        V2        2008.11.29        -
Rising        21.05.51.00        2008.11.29        -
SecureWeb-Gateway        6.7.6        2008.11.28        Heuristic.Script.Infected.WebPage
Sophos        4.36.0        2008.11.29        -
Sunbelt        3.1.1832.2        2008.11.27        -
Symantec        10        2008.11.29        -
TheHacker        6.3.1.1.166        2008.11.28        -
TrendMicro        8.700.0.1004        2008.11.28        -
VBA32        3.12.8.9        2008.11.28        -
ViRobot        2008.11.28.1491        2008.11.28        -
VirusBuster        4.5.11.0        2008.11.28        -
Additional information
File size: 200 bytes
MD5...: cd07904b235f4e1e6afe3cb48d97af28
SHA1..: b4e56636762acc6f2a1491a48aa2b77513e332bb
SHA256: 65aa470c94f8abeb723647a09e44a52c172619bb52821614c4b21dda7ad9e002
SHA512: 2159a95082c7eab8ae33e67933bda17db72c73ce27745d54e3ca476cecba127f<br>6aa9f1aaf1f3f20d66fa692395741b5a69bb3dbef5b60c6c246253b443e8223b<br>
ssdeep: 6:q4xWHGntsDsiCDYNRI/RH0L1aXfM0M/R+Eo:lmGnti+YQ/6aXfyDo<br>
PEiD..: -
TrID..: File type identification<br>HyperText Markup Language (100.0%)
PEInfo: -

lingbo110120

红伞报这个   见怪不怪了...

syfwxmh

红伞的gen就是报这个

挪威的冬天

准确的说报的不是隐藏帧

毕竟隐藏帧是很常用的 WEB 手段

ANTIVIR 报的是 <不规范> 隐藏帧用法

即在 </html> 后出现的隐藏帧

因为他们符合感染特点 即于文件尾部添加 <具有潜在威胁代码>

所以红伞报 INFECTED.GEN

从这个角度来说我不觉得这个算是严格意义上的误报

syfwxmh

话虽如此，但是这类代码一般被用于添加alexa排名统计，所以我觉得还是属于误报。
如果不隐藏这个用户会看到一个有残缺的页面。

只能说红伞这个gen定义的位置有问题，至于是否误报看红伞的工程师了，刚才上报A，回复依然是MALWARE，只能说机器回复很强大。

挪威的冬天

就因为是 GEN 所以我觉得没问题

其实并不干隐藏帧的事情

这个页面是它自己添加的不规范, 我想作者大概是用工具批量添加的, 所以出现这类情况

如果 SRC 换成挂马地址这就是一个 GEN 的成功例子了

挪威的冬天

梦幻可以试试看这个

和源文件没别的差别, 只是把 IFRAME 从敏感位置移到 <我认为正确的位置>

不影响功能性和页面效果

红伞也不报

这个例子就好比一个正常文件针对某特征码进行修改然后被报一样

属于自己撞上去的 (某XX杀软被XXX误报事件?)

P.S. 当然这个问题其实见仁见智, 严格点来说误报就是误报, 不管什么原因

但是作为 GEN 这类方法我觉得是不可避免的需要做出一些妥协的

况且红伞这个 GEN 在我看来 GEN 的没什么问题.

syfwxmh

确实不报了~
不过我还是觉得这样的gen不太严谨