回复:(bmd411z)[求助]Server.CreateObject(
我在学校的社区上看见有人提问这个问题,于是我在网上搜了下,没有什么借鉴的资料,只是搜到这里LZ问同样的问题,于是自己测试了一下、并回了一帖。看见LZ这帖好像没有讨论到我所说的,于是也贴了出来,请大家不要见笑。
讨论区: [ASP编程] [发言] [邮订][返回]
--------------------------------------------------------------------------------
主题:回复liuxianque(看海人)于2007-4-13 0:30在[ASP编程] 区发表的《清病毒高手请进!!!》
作者:pansiom(你撞鬼了) 2007-4-13 4:09:05 >楼主<
[回复][打包][转贴]
首先,我要说的是,我并非清病毒高手。
其次,liuxianque(看海人)所发表的ASP代码并非病毒,但它含有某些杀毒软件(如卡巴斯基)认为是病毒的特征。
liuxianque(看海人)于2007-4-13 0:30在[ASP编程] 区发表的《清病毒高手请进!!!》中主要含有下面ASP代码(把“<%......%>”复制到记事本中,保存为“Test.asp”,并把文件关闭。)致使(当打开文件Test.asp时)卡巴斯基报告有病毒:
<%
Function GetPage(url)
dim Retrieval
Set Retrieval = CreateObject("Microsoft.XMLHTTP")
With Retrieval
.Open "Get", url, False
.Send
GetPage = BytesToBstr(.ResponseBody)
End With
Set Retrieval = Nothing
End Function
Function BytesToBstr(body)
dim objstream
set objstream = Server.CreateObject("adodb.stream")
objstream.Type = 1
objstream.Mode =3
objstream.Open
objstream.Write body
objstream.Position = 0
objstream.Type = 2
objstream.Charset = "GB2312"
BytesToBstr = objstream.ReadText
objstream.Close
set objstream = nothing
End Function
%>
卡巴斯基报告的那个病毒便是(我读得书少
,不会看英文
,哪位会英文的大虾翻译下吧):
////http://www.viruslist.com/sch/search?VN=Trojan-Downloader.JS.gen&referer=kav////
Trojan-Downloader.JS.Gen
Aliases
Trojan-Downloader.JS.Gen (Kaspersky Lab) is also known as: VBS/Psyme (McAfee), Downloader.Trojan (Symantec), Troj/Psyme-BB (Sophos), JS/Ject.A* (RAV), JS_ZEROLIN.A (Trend Micro), TR/Dldr.JS.Smal.T.1 (H+BEDV), JS/Psyme.AC@dl (FRISK), JS/Psyme (Grisoft), Exploit.ADODB.Stream.Gen (SOFTWIN), Trojan.Dropper.JS.Zerolin-7 (ClamAV), Trj/Small.BQ (Panda), VBS/TrojanDownloader.Psyme.NAF (Eset) Detection added May 12 2005 11:02 GMT
Update released May 12 2005 11:52 GMT
Behavior TrojanDownloader
Currently there is no description available for this program.
As many viruses and worms are modifications of earlier versions, it may help you to check the descriptions of similar programs. If such descriptions are available, they will be listed at the top of the page.
Our virus analysts work hard to ensure that descriptions of the commonest and most potentially dangerous software are available to users. The Virus Encyclopedia is updated on a regular basis.
If you cannot find the description you need, please check back later, or contact us on webmaster@viruslist.com.
////////////////////////////////////////////////////////////////////////////////////
我认为,卡巴斯基之所以报告有木马,这是因为以上ASP文件包含有“向服务端读信息”和“向客户端写信息”这两个模块。如果你把上面ASP代码中的两个函数分开保存在两个ASP文件中(如把GetPage函数“Test1.asp”中,把BytesToBstr函数“Test2.asp”中),这样卡巴斯基并不认为这两个文件有病毒!
因此,以上ASP代码不是木马病毒,而是符合了某些杀毒软件病毒特征库中的某个木马病毒的特征罢了。
解决方案:
把GetPage函数中的代码进行适当修改,使不符合常用杀毒软件病毒特征库中的各种木马病毒的特征。
版权所有,转载请注明,本帖出自湛江师院学生社区的pansiom(03计本1)。
[邮订] [返回]
--------------------------------------------------------------------------------
7:00停电时才睡,先玩下游戏先。
[此贴子已经被作者于2007-4-13 4:32:59编辑过]
