瑞星卡卡安全论坛

就这个文件本身来说，不具任何威胁

查看代码可以看到，这个网页中被插入了网马链接




可以看到里面的挂马页面全部使用了相对路径，而不是绝对路径，所以最终下载执行的木马文件是什么，无从分析

但有一点可以肯定，如果这个文件存在于一个WEB服务器上，并且我们访问了它，就会按照里面的链接去下载木马，最终产生攻击行为的是下载的木马，而不是这个网页

至于为什么有的厂商认为它是病毒，有的认为不是，和各自判定病毒的标准有关系

如果只是在本地访问这个页面，毫无风险

如果WEB服务器上的挂马页面，瑞星的木马入侵拦截也会阻断木马进入

你用的什么工具。

经过你的分析,就算瑞星的木马入侵拦截也会阻断木马进入,但也不能让这类的威胁存在我们的电脑中.....这样并不安全....

我也想知....是否可以告知...

嗯，你说的有道理，比方说，你的这个文件可能存在于IE缓存中，其实瑞星应该直接拦截的。

这下放心了吧

汗。。。。这么分析我更不放心了。。。。
这都不拦？

还是没有完全理解我的意思，可能我说的有点拗口，这个文件本身没有威胁
它的作用只是告诉浏览器，木马下载地址是什么，可以理解为它是一个跳板，带着我们的浏览器跳转到木马下载地址
真正产生危害的是下载下来的木马

比如网站的域名是 http://www.abc.com
访问此页面的地址是 http://www.abc.com/all[1].htm
此时，它会告诉浏览器，接下来你该去访问这些地址：
http://www.abc.com/1.htm
http://www.abc.com/newlz.htm
http://www.abc.com/s.htm
http://www.abc.com/office.htm
http://www.abc.com/bf.htm
http://www.abc.com/cx.htm
http://www.abc.com/us.htm
http://www.abc.com/2.htm
http://www.abc.com/7.htm
http://www.abc.com/all.js

上述这些页面实际也只是个跳板，最终带着浏览器经过几次跳转，来到真正的木马下载地址

分析是很好,唯有他们说不是病毒,:default3: 分析完我不放心...

你提交的文件是delphi的？
看起来像reflector之类，又不太像，等lqqk7来回答吧，嘿嘿。:default5:

瑞星拦截的是浏览器访问这个网页的过程中被带向木马下载地址的这个动作！
并非要拦截这个文件。
这就好比某个正常的网站被黑客插入了挂马链接，瑞星要做的是阻止浏览器将木马下载到本地，而不是将这个页面干掉。

听起来跟启发式有些矛盾，不过还是谢谢你的回答。

楼主上传的附件就是个网页文件，用任何一个文本编辑器都可以直接看到代码的，我用的是UltraEdit，用win自带的记事本一样可以

果然是高手....:default69: :default71:谢谢你的回答

哦，哈哈
看来
try catch用得很广泛哦:default6:

楼主有样本吗？
我去看看有没有能分析出来吧。

见附件:
文件名:all[1].zip
下载次数:6
文件类型:application/x-zip-compressed
文件大小: 846 Bytes
上传时间:2009-4-17 19:14:39
描述:zip

我看一下哈。麻烦了

详见附件:
文件名:all[1].zip
下载次数:6
文件类型:application/x-zip-compressed
文件大小: 846 Bytes
上传时间:2009-4-17 19:14:39
描述:zip
见帖子首页面:http://bbs.ikaka.com//showtopic-8616719-1.aspx

费尔测试也是病毒，Syser Loader测试的话，几乎也是个病毒。

报不报毒完全是各家不同的判定标准，有的认为不是病毒，有的认为是病毒，有的认为是恶意代码，这些都不重要，关键问题就是它本身是没有攻击行为的。
认为它是病毒也好，恶意代码也罢，无非是因为如果是某网站上的页面，在访问时会跳转到木马下载地址，如果只在本地访问，里面的相对路径是毫无意义的。

就算是本地访问,若联网后,你能保证它不会远程下载木马病毒吗?在看你的分析确实有害啊...:default27: :default3:一个有病毒的文件就按照他的判定标准,那中*的人就多了....唉,宁可是错过,也不要放过....

这样的分析能力,真是让人叫汗........:default3: :default3: :default2: :default2:我也遇到过......

可以肯定的是，就算本机不开任何防护，用浏览器访问存在于本地的这个网页文件，也不会下载木马
因为里面的相对路径是毫无意义的

只有这个文件存在于一个WEB服务器上，访问时才有作用，但是下载木马的过程也会被拦截

该用户帖子内容已被屏蔽

:kaka6: 都成茶馆了
与主题帖无关的回复请尽量避免
聊天请茶馆喝茶
谢谢~

这个现在有两方面的影响

一、瑞星对这类本身不是病毒的网页或文本类文件不报毒，这和那些对此类文件报毒的安全软件相比，已经在严重影响瑞星的使用观感。

很多人都以为其他安全软件阻断病毒威胁的效果比瑞星强多了。

二、瑞星如果在将来不去检测并报告此类文件包含恶意代码，可能并不能解决瑞星用户希望瑞星能清除可能的潜在威胁的安全观念。

我个人是希望瑞星将来也能象其他安全软件对一些包含典型网页恶意代码的文件报威胁为好

例如：我们知道一些国外完全软件是会对autorun.inf这个文件报毒的。只要此文件内包含利用系统自动播放的功能启动病毒文件的内容，就会报毒。而瑞星对此类文件不认为是病毒的。一直维持这样的观念，没办法改变的。

瑞星对于病毒的定义一直局限在，文件必须要是能运行后对系统构成实质性影响的文件才报毒，而文本类文件以及包含一些象楼主发的文件那样的东西都是不认为是病毒的。

实际上从安全威胁来考虑，这类打开后可能给用户带来威胁的文件，就不报毒，也应该报其含有恶意代码为上上选

因为现在你是能防住那东西下载病毒，如果将来遇到不能防的，岂不是又要被其他安全软件比下去。

同时对使用瑞星的用户来说，不能总是中毒后经历一番痛苦后，等瑞星能再防了，才摆脱这样的怪圈。

我个人认为从系统安全方面来考虑,一个文件包含恶意代码,它在一些情况下没有对系统没有威胁,最后还是会暴发的...希望瑞星有关人员可以作出相关的改动....

我赞同天月的看法,lqqk7的想法是瑞星会拦截那个脚本连接的木马,但是有一点,如果那个木马瑞星拦不住呢? lqqk7考虑过没有?

这个文件里面不包含 利用漏洞 溢出的shellcode代码
这只是个类似索引的文件
他会判断你机器中安装的一些他能利用漏洞的软件版本 然后再去执行当前文件夹下的1.htm  newlz.htm s.htm等等等等（恶意脚本文件）
由于没有得到1.htm  newlz.htm s.htm
所以可以认为不是病毒