[讨论]多发一遍，关于moin.tar.gz包里的恶意病毒，请大家注意！！！

lion0001 · #1

无论如何，这让我有点担心和失望！原贴我没有去找
这个包的名字是moin.tar.gz，据发送者称
“整个截止到 5-28 号的整个 wiki.ubuntu.org.cn 的数据。
不含帐户权限等资料。 ftp.ubuntu.org.cn/wiki/moin.tar.gz ”
当时觉得很好也没多想，怀着感激的心情就下载下来在xp下和ubuntu下解压缩了。

没想到今天系统手动检查，用的是诺顿网络安全特警2006版最新的病毒库，居然发现这个提示：

源：手动扫描程序
风险类别：病毒
单击以了解有关该风险的更多信息：Backdoor.Trojan
采取的操作：已删除
说明：受影响的区域:
1 个文件:
00000001 包含于fr.7939.0.moin.tar 包含于F:\linux\moin.tar.gz - 已删除

不知道各位论坛里的高手怎么看啊，如果是误报，能不能给个解释！
这真的让我这个新手太失望了！是不是有人想拿我们的系统作为他成为黑客高手过程中的陪练！！！

karron · #2

首先,这个包是本网站的负责人发布的.个人还是比较相信的.
另外,今天我在公司用的Office Scan扫描没有发现病毒.
晚上回去用家里的Mcafee查查试试.

建议楼主换用别的杀毒软件扫描一下.

曾半仙 · #3

wiki记录项,每个00000001都是一个纯文本文件.

诺顿大有超越北信源和趋势的地步啊

nobrain · #4

记得以前用pc-ci???-2002(反正是trend公司的），看其中的帮助文档，里面就有一段测试，纯文本的，先把这段文本考到记事本里，在扫，应该会报xxx病毒，用来检验杀毒软件是否正常工作。所以说，把纯文本当作病毒是有可能的。

putao · #5

如果是windoz的病毒放在.tar.gz里那也是很创意啊

lion0001 · #6

4楼的朋友，关于纯文本作出的“病毒”只是一个测试，我也玩过这个游戏；各大杀毒软件发现后都有链接说明的，这个“病毒”的详情只是做测试用！！
但是这次诺顿杀毒报警的是“Backdoor.Trojan ” 大家可以搜索一下这个名词，看看各大杀毒软件厂商是怎么说的。

至于一些木马程序本身对系统并没有危害性，所以有些杀毒软件识别的比较慢。

至于5楼的朋友，建议你去找一找原贴，好像这个包是可以在xp系统中使用的！

nobrain · #7

我看了一下这个：

代码：全选

:~/Desktop/moin$ find -name "00000001" | xargs file | grep -v text

把类型为text的00000001都滤除了，结果如下：

代码：全选

./ubuntu/data/pages/dvbbs(2f)data(2f)dvbbs7(2e)mdb/revisions/00000001:                                       data
./ubuntu/data/pages/index(2f)WebService(2f)ApacheIntegerate/revisions/00000001:                                       MS-DOS executable (COM)

我用gedit打开这个两个文件，第一个是什么VBScript.Encode，下面还有日文，什么“蛋糕上の草莓”，及一堆乱码。难道是把vbscript的代码搞成二进制的形式，好干坏事？我瞎猜的，我不懂。
第二个，其实就是一个纯文本，介绍apache,tomcat和jk2的安装，但是file把它判断成了com文件。
我觉得，第一个值得怀疑，哪位兄弟能不能帮忙看一下？

曾半仙 · #8

还有什么说的
赶紧膜拜诺顿X全特X2006吧

万能的诺顿发明了可以通过记事本传染的木马.
继其杀除了QQ聊天记录的又一伟大创举
可以和趋势隔离所有安装文件的"may be virus"日志有过之而无不及

lion0001 · #9

8楼的半仙，你可以升空去火星了，地球上早就不适合你生活了！

有本事你的系统就永远不要用杀毒软件，也不要ghost，更不要重装。赤手空拳面对网络威胁，我就去膜拜你！
bs一下半斤八两的人，驳斥别人请说出证据，我虽然水平不高，还是听得懂地球上的语言的！

Bailuhuaxiang · #10

${L_SMILIES_SURPRISED}$ 诺顿的误报还是很正常的，只要你用过一些破解补丁就会有感觉。
至于文本文档被当病毒杀，而且还挂了名，那只是说明诺顿的问题。

PS：我现在用的是kaspersk4.5server版用跟新到2006年6月15号的病毒库，论能力，诺顿还是比不过的，但至少没有乱叫的情况。从这点看，更可能是诺顿在抽风，建议楼主换一个杀毒软件，以免以后系统被诺顿误杀。

karron · #11

建议机器上还有windows的兄弟都下载扫描一下，报告一下所用杀毒软件和结果。

我个人认为是norton误报。

曾半仙 · #12

1. 诺顿没有误报,确实是病毒
2. 这个文本文件以别人都不知道或者认为不可能的方式活性化
3. 7楼的用户尝试自己去分析,是一种托大的表现.

此为8楼的核心内容.

因为观察到只要不秉承"这个确实是病毒"的前提的回帖,楼主都不满意
俺特来炮制满意帖,可耻地失败了.
那么楼主接下来要什么样的前提?

lion0001 · #13

为什么都说卡巴好呢？诺顿真的这么差？是不是网上卡巴免费的破解很多，不花钱用起来比较爽阿。
最近有个很流行的通过u盘传播的恶意程序，ravmone.exe流传了好几天了，各大杀毒软件都没有识别出来，卡巴也一样并不比别人高明，也是经过别人的举报才把它定性的。
而且在微软的官方网站上，好像推荐的几种杀毒软件也没有卡巴。呵呵。是不是卡巴更适合中国国情阿。

gzd900 · #14

“卡巴也一样并不比别人高明，也是经过别人的举报才把它定性的”，这话有道理，不过，你的诺盾就好吗？如果你会玩病毒你就知道哪种杀毒软件比较好了。
就算楼主说的是正确的，那我想知道两件事：
1：你所谓的“Backdoor.Trojan”能在LINUX上运行吗？
2：你那NB的诺盾能在LINUX上查杀病毒吗？

eexpress · #15

gzd900 写了：“卡巴也一样并不比别人高明，也是经过别人的举报才把它定性的”，这话有道理，不过，你的诺盾就好吗？如果你会玩病毒你就知道哪种杀毒软件比较好了。
就算楼主说的是正确的，那我想知道两件事：
1：你所谓的“Backdoor.Trojan”能在LINUX上运行吗？
2：你那NB的诺盾能在LINUX上查杀病毒吗？

这个是核心。