28,405
社区成员
发帖
与我相关
我的任务
分享呵呵,两行代码让所有的杀毒软件发疯
随便一个目录,建一个后缀名为asp的文件,文件名随便,不要太怪就可以了
然后输入下面两行代码:
<script></script>
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
三个空格要保留,{script language=...."},
{"readme.eml", null...},{null, "resiz......}
基本上所有的比较新的杀毒软件都会误报"Nimda".
本人试过Notron,金山毒霸,瑞星。不知这些杀毒软件的扫描部分的代码
是谁写的。不是总有人自吹自己的软件技术如何如何先进吗?
然后输入下面两行代码:
<script></script>
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
三个空格要保留,{script language=...."},
{"readme.eml", null...},{null, "resiz......}
基本上所有的比较新的杀毒软件都会误报"Nimda".
本人试过Notron,金山毒霸,瑞星。不知这些杀毒软件的扫描部分的代码
是谁写的。不是总有人自吹自己的软件技术如何如何先进吗?
...全文
请发表友善的回复…
发表回复
SaintNiya 2001-11-28
- 打赏
- 举报
swans(swan.net)说得没错,看看下面这段
[readme.eml]
这个东西是值得一提的,他利用了IE5.01/IE5.5的一个漏洞。我们知道html格式
的邮件中图片和多媒体文件都是自动打开的,而可执行文件不是。但如果把可执行文件
指定为多媒体类型,也会自动下载打开。下面是readme.eml的一段:
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
另外,如果文件夹是“按web页查看”,那么即使只是用鼠标单击选中readme.eml
也会导致蠕虫的执行,如果把扩展名改为mht也是可以的,但改为htm就不行。
[readme.eml]
这个东西是值得一提的,他利用了IE5.01/IE5.5的一个漏洞。我们知道html格式
的邮件中图片和多媒体文件都是自动打开的,而可执行文件不是。但如果把可执行文件
指定为多媒体类型,也会自动下载打开。下面是readme.eml的一段:
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
另外,如果文件夹是“按web页查看”,那么即使只是用鼠标单击选中readme.eml
也会导致蠕虫的执行,如果把扩展名改为mht也是可以的,但改为htm就不行。
swans 2001-11-28
- 打赏
- 举报
re: newskyline(杏心)
你看看其它目录下有没有??????.eml文件?
在你的机器没有打上补丁的时候,如果你的文件夹是能WEB查看
你选中它时,就会自动的解出病毒原文件。自动运行。不信你试试。
newskyline 2001-11-28
- 打赏
- 举报
不会吧,NIMDA是今年9月发现的,是不是已经变异了?我的机子被感染的时候,就只有README.EML,而且我将所有的都删了,然后清除了部分很重要的文件的此行代码,没有发现什么其他的问题啊?
SaintNiya 2001-11-28
- 打赏
- 举报
用Norton杀毒,他只把源文件中的这行代码去掉,其他不变。不会破坏你原来的代码。
我试了二十多个文件,有asp也有htm,没有问题的说。
我试了二十多个文件,有asp也有htm,没有问题的说。
swans 2001-11-28
- 打赏
- 举报
re: newskyline(杏心)
右击我的电脑图标,点[搜索],找*.eml,Ctrl+A 全选,删除。。。。。。
病毒不单生成readme.eml 还会自动的取名生成其它名字的.eml文件,中文名也会生成
生成的中文名甚至是很有意义的,呵呵……
newskyline 2001-11-28
- 打赏
- 举报
swans说得很对啊,只要你的电脑感染了NIMDA病毒,它就会在你的那些后缀ASP/HTM和INDEX/DEFAULT等文件里加入这些代码,病毒的确很厉害,我的电脑就曾经被感染,可以将所有的README.EML清除,但是我不知道怎样批量的清除这些要命的代码。
SaintNiya 2001-11-28
- 打赏
- 举报
一个病毒的特征码应该远不止一处,对吧?
swans 2001-11-28
- 打赏
- 举报
但现在的杀毒软件都使用所谓的病毒特征码来对比,
以上语句就是病毒留下来的痕迹,那么每个杀毒软件的特征码就应当一样。
至于内核嘛。我想都一样。因为都是特征码。。。。。。。。这个好象是KV先开发的吧?
以后的都是抄袭的。。
SaintNiya 2001-11-28
- 打赏
- 举报
我的意思并不是说这句语句正常不正常,而是想了解一下国内的杀毒软件的内核到底是哪里
来的?不是总有人吹自己第一个发现XXX病毒吗。我们到底有没有自己的技术核心?这是
主要的问题和目的。并没有别的意思
来的?不是总有人吹自己第一个发现XXX病毒吗。我们到底有没有自己的技术核心?这是
主要的问题和目的。并没有别的意思
swans 2001-11-28
- 打赏
- 举报
<script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script>
这一些本来就是Nimda病毒加到网页文件的语句,报告有毒也是正常。有谁会这么无聊打开一个
超出屏幕这么远的窗口?
kjijian 2001-11-28
- 打赏
- 举报
给个源程序来试试
luojx 2001-11-28
- 打赏
- 举报
这叫做宁可错杀一千,不能放过一个!
:-D
:-D
