『紧急通知』新三字经2CD光盘有病毒。请不要运行。

bnkf · 发表于 2004-7-4 07:16:00

看来得准备专用木马查防工具了

surenet · 发表于 2004-7-4 16:46:16

昨完已经刻盘运行过了，不过还是十分感谢楼子，只是心痛已经刻的二张cdr：）

绿色食品 · 发表于 2004-7-4 21:16:07

我的symantec antivrus企业版也没有发现有病毒?

ytchxiao · 发表于 2004-7-4 23:35:59

用ultralso 进行iso格式转换后，没有发现木马。转换后文件明显缩小，但运行正常。

mingjl · 发表于 2004-7-5 09:00:51

ytchxiao+-->引用:ytchxiao 用ultralso 进行iso格式转换后，没有发现木马。转换后文件明显缩小，但运行正常。

很奇怪啊！我单位的机器还是未发现任何异常，未发现grcframe.exe、相应的端口也未被打开，很奇怪啊！网友报告的病毒是从哪里来的呢？ ytchxiao朋友提到的文件明显缩小，是指整个镜像文件还是指里面的可执行文件啊？ISO格式的镜像文件是应该比原来的格式要小，这是正常的，如果要是转换后里面的文件发生变化，请告之。

mingjl · 发表于 2004-7-5 09:10:42

7月5日星期一本人今天到单位第一件事，就是对已发布的“新三字经2CD”进行了排查。很奇怪啊！我单位的机器还是未发现任何异常，未发现木马程序grcframe.exe、相应的端口也未被打开，根据schoolbus木马的分析报告，该木马程序将对系统文件“runonce.exe（启动文件）”进行捆绑，那么这文件的字节数应该变大？很奇怪！！！我系统中的runonce.exe字节数正常，未发现任何变化！！那么！网友报告的病毒是从哪里来的呢？而且报告发现病毒的网友，都是用瑞星软件查出的，有没有网友用其它杀毒软件查出这个文件有病毒？谢谢！！！鉴于目前尚不能对本人的系统是否含有木马程序下定论，因此，本人暂停一切发布活动，请谅解！

z_ch · 发表于 2004-7-5 11:36:00

Kaspersky Anti-Virus Personal 5.0.142 未发现异常
木马克星iparmor 5.46 未发现异常
runonce.exe字节数正常

ytchxiao · 发表于 2004-7-5 13:34:39

mingjl+-->引用:mingjl ytchxiao朋友提到的文件明显缩小，是指整个镜像文件还是指里面的可执行文件啊？ISO格式的镜像文件是应该比原来的格式要小，这是正常的，如果要是转换后里面的文件发生变化，请告之。

可执行文件未发生任何变化。在进行格式转化前后，我均用卡巴斯基4.5查毒，没有查到病毒。转化后运行iso文件，ZA防火墙没有任何警报。随后依据楼主的提示，在系统中查找捆绑文件，没有发现任何病毒。

mingjl · 发表于 2004-7-5 15:48:53

“新三字经2cd”带病毒一事的调查结果及解决方案，详见：
http://kids.novee.com/showthread.php?t=18952

绿色食品 · 发表于 2004-7-5 18:34:59

我也没有发现任何病毒

		自动登录	找回密码
密码			注册