卡巴、费尔Miss，微点报蠕虫：一个VBS文件造成的病毒？！

显示全部楼层 · 发表于 2009-5-27 18:22:18

Data = "4D5A000.......737300"  'exe数据

Function ExtractFile(FileName)
      With CreateObject("ADODB.Stream"):.Type = 1:.Open:.Write StrToByte(data):.SaveToFile FileName, 2:.Close:End With 'Adodb流写入二进制文件
End Function

ExtractFile "C:\BalloonTip.exe" '呼叫过程，释放exe
WScript.CreateObject("WScript.Shell").Run "cmd.exe /c C:\BalloonTip.exe "" 祝愿大家天天开心！"" 温馨提示 10000 1", 0  '启动程序balloontip.exe

Function StrToByte(str) '转换上面的16进制数据到二进制文件
      Set xmldoc = CreateObject("Microsoft.XMLDOM")
      xmldoc.loadXML "<?xml version=""1.0""?>"
      Set pic = xmldoc.createElement("pic")
      pic.dataType = "bin.hex"
      pic.nodeTypedValue = str
      StrToByte = pic.nodeTypedValue
End Function

一个用VBS释放EXE的脚本，尽管释放的文件可能没有毒，不过这种释放二进制文件的代码被某些病毒用过，所以报毒了

显示全部楼层 · 发表于 2009-5-27 18:53:24

原帖由 tomjohnjoan 于 2009-5-27 08:36 发表

Thank You!
But MicroPoint还是报“蠕虫名称：Worm.Win32.Agent.owj”！

樓上解釋的非常清楚,所以我說MAY BE~
不過來是TO DW FIX
因為沒有惡意行為就算釋放EXE還是沒有惡意行為! KL 不報
MP要報我也沒辦法~這比一般誤報來容易看的出來

簡單來說如果不報,那麼MP主防怎辦呢?添加白名單?
所以MP堅持誤報?

[ 本帖最后由黑衣~魂于 2009-5-27 19:04 编辑 ]

显示全部楼层 · 发表于 2009-5-27 19:14:20

a-squared	4.0.0.101	2009.05.26	Trojan-Dropper.VBS.Inor!IK
AhnLab-V3	5.0.0.2	2009.05.26	-
AntiVir	7.9.0.168	2009.05.26	HTML/ADODB.Exploit.Gen
Antiy-AVL	2.0.3.1	2009.05.26	-
Authentium	5.1.2.4	2009.05.25	-
Avast	4.8.1335.0	2009.05.25	-
AVG	8.5.0.339	2009.05.25	-
BitDefender	7.2	2009.05.26	-
CAT-QuickHeal	10.00	2009.05.26	-
ClamAV	0.94.1	2009.05.26	-
Comodo	1199	2009.05.25	-
DrWeb	5.0.0.12182	2009.05.26	Trojan.MulDrop.586
eSafe	7.0.17.0	2009.05.24	-
eTrust-Vet	31.6.6521	2009.05.25	-
F-Prot	4.4.4.56	2009.05.25	-
F-Secure	8.0.14470.0	2009.05.26	-
Fortinet	3.117.0.0	2009.05.26	-
GData	19	2009.05.26	-
Ikarus	T3.1.1.57.0	2009.05.26	-
K7AntiVirus	7.10.744	2009.05.25	-
Kaspersky	7.0.0.125	2009.05.26	-
McAfee	5626	2009.05.25	-
McAfee+Artemis	5626	2009.05.25	-
McAfee-GW-Edition	6.7.6	2009.05.26	Script.ADODB.Exploit.Gen
Microsoft	1.4701	2009.05.26	-
NOD32	4104	2009.05.26	-
Norman	6.01.05	2009.05.25	-
nProtect	2009.1.8.0	2009.05.26	-
Panda	10.0.0.14	2009.05.26	-
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.26	-
Rising	21.31.12.00	2009.05.26	-
Sophos	4.42.0	2009.05.26	-
Sunbelt	3.2.1858.2	2009.05.25	-
Symantec	1.4.4.12	2009.05.26	-
TheHacker	6.3.4.3.331	2009.05.25	-
TrendMicro	8.950.0.1092	2009.05.26	-
VBA32	3.12.10.6	2009.05.26	-
ViRobot	2009.5.26.1752	2009.05.26	-
VirusBuster	4.6.5.0	2009.05.25	-

显示全部楼层 · 发表于 2009-5-27 20:18:47

微点可能误报了

显示全部楼层 · 发表于 2009-5-27 21:41:14

mp av不报

显示全部楼层 · 发表于 2009-6-1 16:08:52

不知道微点官方人员看到这个没有啊。
请分析一下！谢谢！

显示全部楼层 · 发表于 2009-6-1 16:27:12

~~确实没有病毒代码,但是,用VBS写了一个PE文件~然后启动,这个病毒运用也是比较多的吧~

显示全部楼层 · 发表于 2009-6-1 16:38:15

对卡巴免杀了？

显示全部楼层 · 发表于 2009-6-18 10:12:37

昨天电脑出了点儿问题
于是卸载了费尔和PCT，重装了微点，
今天升级后，
发现
微点已经不报这个东东了！

莫非有人上报官方了！
支持个！

[病毒样本] 卡巴、费尔Miss，微点报蠕虫：一个VBS文件造成的病毒？！

浏览过的版块

[病毒样本] 卡巴、费尔Miss，微点报蠕虫： 一个VBS文件造成的病毒？！

浏览过的版块

[病毒样本] 卡巴、费尔Miss，微点报蠕虫：一个VBS文件造成的病毒？！