2個惡意程式碼的網站兩個病毒-測試你線上防毒能力 - 第2頁

kanako0605

我用殺毒，沒事。
http://www.zhao114.com/ =>正常
http://www.joyiex.com/ =>网站维护中,请稍候访问......

joe.oo

引用:

作者: orcish

我進去後也沒發現什麼病毒
www.joyiex.com 裡頭還寫"網站維護中,請稍候訪問......"
難道在更換新病毒

我是用AntiVir防毒軟體..

這是騙人的，要讓人放鬆戒備，
它在 HTML 源始碼中還是引用了一個 Object ,
連結到一個非常惡毒的 VBScript ．

這個 VBScript 似乎在硬碟中寫了一個 ouc.exe 並執行它．

orcish

可以請你詳細列出來嗎?
因為我在www.zhao114.com只遇到要我設它為首頁
www.joyiex.com則跳出一個視窗

還有你是說它會連結到一個非常惡毒的 VBScript ，是指你按了它其中一項指令才產生的?

引用:

作者: joe.oo

這是騙人的，要讓人放鬆戒備，
它在 HTML 源始碼中還是引用了一個 Object ,
連結到一個非常惡毒的 VBScript ．

這個 VBScript 似乎在硬碟中寫了一個 ouc.exe 並執行它．

joe.oo

對岸有人在討論，www.joyiex.com
它是 TrojanDropper.VBS.Taorao
好像是一種 QQ 病毒，會自動發 msg 給QQ 上的朋友．

這種垃圾網站不要再管它了，直接擋掉 *.joyiex.com 就對了．

victorinoxs

用NOD32，
第一個網站沒抓到，
第二個靠著智慧型偵測，
抓到了一隻。

lman1032

NOD32 不能老是僅依靠人工智慧引擎來判斷
而且 NOD32 的人工智慧也不是說 100% 偵測的到
加上病毒碼後的偵測率比 P 牌更低是不及格的 !!
畢竟沒有人的防毒軟體是不更新病毒碼的

orcish

在Sophos網站上找到的資訊
TrojanDropper.VBS.Taorao(VBS/StartPa-CT)
is a visual basic script which is used by a multi-component malware
to translate a BMP file on the computer downloaded by another component
into an executable file and then runs
如果比對上面網友所講的，應該是ouc.bmp ->ouc.exe
而且我注意到一點執行轉換指令是在http://www.joyiex.com/ouc.asp
也就是說當你看到"網站維護中,請稍候訪問......"這段訊息時，其實網頁裡頭揷了一段
<object data="ouc.asp" width=0 height=0> </object>
這裡有一段原理說明 =>IE Object Data漏洞實現之網頁木馬
只是爲何他只找ouc[1].bmp跟ouc[2].bmp啊?

kanako0605 進	我用殺毒，沒事。 http://www.zhao114.com/ =>正常 http://www.joyiex.com/ =>网站维护中,请稍候访问......
	回覆

joe.oo 會員	對岸有人在討論，www.joyiex.com 它是 TrojanDropper.VBS.Taorao 好像是一種 QQ 病毒，會自動發 msg 給QQ 上的朋友．這種垃圾網站不要再管它了，直接擋掉 *.joyiex.com 就對了．
	回覆

victorinoxs 會員	用NOD32，第一個網站沒抓到，第二個靠著智慧型偵測，抓到了一隻。
	回覆

lman1032 會員	NOD32 不能老是僅依靠人工智慧引擎來判斷而且 NOD32 的人工智慧也不是說 100% 偵測的到加上病毒碼後的偵測率比 P 牌更低是不及格的 !! 畢竟沒有人的防毒軟體是不更新病毒碼的
	回覆