Windows7之家被挂马？---【误报 By ：谁谁谁】

显示全部楼层 · 发表于 2010-10-11 14:18:46

本帖最后由谁谁谁于 2010.10.11 16:40 编辑

卡巴报之

显示全部楼层 · 发表于 2010-10-11 23:02:47

似误报

显示全部楼层 · 发表于 2010-10-11 23:03:09

似误报

显示全部楼层 · 发表于 2010-10-12 21:45:43

卡族的Wesly.Zhang版主回复的
尊敬的用户，您好！

我们不认为这是卡巴斯基的错误检测，卡巴斯基的网页反病毒的启发分析，在一般情况下是非常准确的。您这个威胁报告是启发式分析出的结果，报告的是该网站页面存在一个跨站式页面潜入恶意对象，经过检查该页面的内容，我们发现如下恶意对象。

有兴趣人士可以玩玩，把里面的“@”改变成“%”后，输出。

显示全部楼层 · 发表于 2010-10-13 15:16:46

本帖最后由幸福的猪猪于 2010.10.13 15:24 编辑

Redoce不能获取到windows7之家论坛的源代码。

Malzilla倒是可以获取到其的源代码，可疑代码如下：

<script type="text/javascript"> str="@3c@69@66@72@61@6d@65@20@73@72@63@3d@22@68@74@74@70@3a@2f@2f@63@6c@69@63@6b@2e@6c@69@6e@6b@74@65@63@68@2e@63@6e@2f@3f@6d@3d@76@61@6e@63@6c@26@61@3d@41@31@30@30@30@38@39@30@31@39@26@6c@3d@39@39@39@39@39@26@6c@5f@63@64@31@3d@30@26@6c@5f@63@64@32@3d@31@26@74@75@3d@68@74@74@70@25@33@41@25@32@46@25@32@46@77@77@77@2e@76@61@6e@63@6c@2e@63@6f@6d@25@32@46@22@20@77@69@64@74@68@3d@22@30@22@20@68@65@69@67@68@74@3d@22@30@22@3e@3c@2f@69@66@72@61@6d@65@3e"; document.write(unescape(str.replace(/@/g,"%"))); </script>

复制代码

执行替换之后的代码：（广告链接？）（至于是否存在跨站式页面潜入恶意对象，这个我的真的不晓得。）

str="<iframe src=http://click.linktech.cn/?m=vancl&a=A100089019&l=99999&l_cd1=0&l_cd2=1&tu=http://www.vancl.com/ width="0" height="0"></iframe>

复制代码

显示全部楼层 · 发表于 2010-10-17 20:26:30

MS是误报

[已鉴定] Windows7之家被挂马？---【误报 By ：谁谁谁】