经过初步查证，瑞星网站木马检测的原理为：瑞星杀毒软件或者瑞星卡卡等客户端程序，在用户的电脑上进行监控，当用户访问某个网页出现木马时，再上报到瑞星服务器。导致的恶果就是：如果客户自身电脑存在病毒，或者局域网存在arp病毒，甚至当地运营商的不合法行为，都会导致网页被插入木马，而瑞星也会以此认为是网站不安全。

如果您不信可以在http://union.rising.com.cn/index/index.aspx处查查新浪网，网易，google等几乎不可能被挂马的权威网站。

另外：能不能提供一份坚持到挂马时的网页快照？否则一来容易产生误报纠纷，二来也可以给站长追溯木马的线索，毕竟网页上有木马的起因太复杂了（1、网页确实被篡改；2、机房局域网有arp病毒；3、用户局域网有arp病毒；4、所经过的各级路由的问题）。

要做产品就尽量做好一点，负责一点，毕竟因为您工作的一点点不到位会给很多人造成非常大的麻烦。

最后留下本人QQ：5302273，如有需要配合的可以跟我联系

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; GTB6.5; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; FDM; Alexa Toolbar; .NET4.0C; .NET4.0E)

针对您所说的ARP欺骗挂马攻击的情况在某些局域网环境里面是肯定会存在的，在这种环境下，当用户访问新浪时，由于ARP攻击的原因，用户会受到恶意代码的攻击，而此时瑞星也会对恶意代码进行有效的拦截，并提示用户发现恶意代码，客户端会将相应的信息反馈给瑞星云安全服务器端。在瑞星云安全服务器端，瑞星的服务器会对上报的恶意地址信息进行验证，瑞星有专门的一套验证系统对该恶意网址进行验证，只有在瑞星的验证系统验证该网址为恶意地址的时候，才会在信息库中添加该网址的信息并在客户端进行有效地拦截。如新浪网址，客户访问时会因为ARP欺骗攻击导致受到恶意代码的攻击，但是瑞星的验证系统不会出现ARP欺骗攻击，所以在验证时，不会认为新浪的恶意地址是恶意网址，也就不会在信息库中添加该条信息。当然，快照的保存是证明该地址是否为恶意地址的关键，这个暂时不会予以公布。

那你们查过新浪，网易之类的网站吗？

截图：

这又如何解释？里面的这几个链接，我相信那些blog链接可能会被挂马，但是其他页面我是不相信的。
我也不是故意找茬，只希望瑞星能够提供快照，就算是法院定罪也得有证据不是吗？另外提供了快照也好让我们这些草根站长解决问题方便点。

最后，我感谢你们为网络安全所做的工作