Re: [轉錄][情報] Pure MSN有毒? Win32/Clampi.F t …
※ 引述《connyli ()》之銘言:
: ※ [本文轉錄自 MSNmessenger 看板]
: 作者: beavers () 看板: MSNmessenger
: 標題: [情報] Pure MSN有毒? Win32/Clampi.F trojan
: 時間: Sun Oct 4 15:20:55 2009
: 今天下載Pure MSN時
: 我的nod32 smart security把他擋下來了!
: 說是有clampi這個病毒
: (另一台電腦的nod32 3.0也是)
: (病毒碼4478)
: 有板友其他的軟體也出現這樣的狀況嗎?是誤判嗎?
: 還是真的有毒呢@@
這是誤報,
一開始以為是有用 ASPack 壓過的關係, 後來用 Source 再重編的檔案,
就被卡巴偵測出有木馬, 但是掃 Compiler (Purebasic) 又 OK,
進一步 trace 的結果, 會導致誤報的是連網頁那行程式,
ShellExecute_(hParent,"open","http://pank.org/im/?msnpp=1","","",#SW_SHOWNORMAL)
把這行註解掉重編, 卡巴就沒叫了
後來改成另一種寫法
RunProgram("cmd.exe", "/c Start http://pank.org/im/?msnpp=1","",#PB_Program_Hide)
也不再用 ASPack 壓了, 為了讓大家安心, 網站上的程式已 Update
提供相關檔案, 讓有興趣的人研究一下
之前的版本(會讓某些防毒軟體誤報)
Souce Code http://pank.org/ftp/im/msnpp_test.pb
執行檔 http://pank.org/ftp/im/msnpp_test.exe
修改後的版本
Souce Code http://pank.org/ftp/im/msnpp.pb
執行檔 http://pank.org/ftp/im/msnpp.exe
(執行檔都沒有用 ASPack 壓, 所以比之前的 27K 大一些)
兩個版本只差一行, 就是前面所提的連網頁部份.
--
http://pank.org
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 121.254.99.76
推
10/05 05:56, , 1F
10/05 05:56, 1F
推
10/05 09:13, , 2F
10/05 09:13, 2F
推
10/05 13:18, , 3F
10/05 13:18, 3F
推
10/05 15:16, , 4F
10/05 15:16, 4F
推
10/05 16:45, , 5F
10/05 16:45, 5F
→
10/05 16:45, , 6F
10/05 16:45, 6F
→
10/05 16:46, , 7F
10/05 16:46, 7F
推
10/05 21:16, , 8F
10/05 21:16, 8F
推
10/06 17:51, , 9F
10/06 17:51, 9F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
