卡饭又一次被挂马...样本...

kangzhen

解SWF文件得到这些代码，居然有部分无法显示

1. [code]x _    
   D     <rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"> <rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/"> <xmp:CreatorTool>Adobe Flash CS4 Professional</xmp:CreatorTool> <xmp:CreateDate>2011-04-12T15:32:22+08:00</xmp:CreateDate> <xmp:MetadataDate>2011-04-13T16:53:47+08:00</xmp:MetadataDate> <xmp:ModifyDate>2011-04-13T16:53:47+08:00</xmp:ModifyDate> </rdf:Description> <rdf:Description rdf:about="" xmlns:dc="http://purl.org/dc/elements/1.1/"> <dc:format>application/x-shockwave-flash</dc:format> </rdf:Description> <rdf:Description rdf:about="" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/" xmlns:stRef="http://ns.adobe.com/xap/1.0/sType/ResourceRef#"> <xmpMM:InstanceID>xmp.iid:AA9CCB1DAA65E0119441A373DE305296</xmpMM:InstanceID> <xmpMM:DocumentID>xmp.did:AA9CCB1DAA65E0119441A373DE305296</xmpMM:DocumentID> <xmpMM:OriginalDocumentID>xmp.did:83940502D764E0119989F3BD456B40AD</xmpMM:OriginalDocumentID> <xmpMM:DerivedFrom rdf:parseType="Resource"> <stRef:instanceID>xmp.iid:83940502D764E0119989F3BD456B40AD</stRef:instanceID> <stRef:documentID>xmp.did:83940502D764E0119989F3BD456B40AD</stRef:documentID> <stRef:originalDocumentID>xmp.did:83940502D764E0119989F3BD456B40AD</stRef:originalDocumentID> </xmpMM:DerivedFrom> </rdf:Description> </rdf:RDF>  C

复制代码

DearJohn

回复 7楼 kangzhen 的帖子

因为md会和浏览器一样获取代码，但并不执行代码，而杀软会对返回的代码进行特征匹配而报毒，实际并未中毒。
关闭监控即可。

gikouhaku

FS阻止  下载未成功

451102995

除了那个SWF文件....SOPHOS把其它的都KILL了！

陈-烈焰风暴

一切终于都结束了~~卡饭V5！
提供小马的大大们辛苦~

saga3721

那个“SWF/Dldr.Agent.E [virus]”当时VT上只有5个报的，记得红伞和AVAST都有报

bluelily

saga3721 发表于 2011-5-27 03:23
那个“SWF/Dldr.Agent.E [virus]”当时VT上只有5个报的，记得红伞和AVAST都有报

没想到当晚折腾把AVG换成大蜘蛛的时候恰好被蜘蛛救了一命   VT上的AVG竟然不杀     刚刚试了一下avg能杀了  

saga3721

bluelily 发表于 2011-5-27 03:31
没想到当晚折腾把AVG换成大蜘蛛的时候恰好被蜘蛛救了一命   VT上的AVG竟然不杀     刚刚试了一下 ...

人生如戏，世事如棋

疯狂的小鬼

kangzhen 发表于 2011-5-25 01:06
不知道为什么我用MDecoder分析时，微点老是报蠕虫，只能用在线网页分析~~~

因为MD本来就直接算是在实机中分析的。。
碰到木马之类的 杀软直接会报毒

嗨熊

好像没什么反应，难道中招了？