为人民币服务

Tags: 木马  病毒  NOD32  

刚才为了下载CNET的一段FLASH视频，跑到缓存中去找文件，结果意外地发现竟然有一个名为“Exploe.exe”的文件，图标是一个汉字“易”，放在缓存目录的根下（即C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\。

可执行文件出现在这个位置本来就不正常，更何况文件名是如此的奇怪，于是条件反射地按下Ctrl+Alt+Del，果然在里面找到了这个进程。不管三七二十一先结束掉再说。

在删除之前，先将这个文件提交到病毒检测网站，结果如下——

Antivirus Version Update Result
AntiVir 7.2.0.25 10.11.2006 no virus found
Authentium 4.93.8 10.12.2006 no virus found
Avast 4.7.892.0 10.11.2006 no virus found
AVG 386 10.11.2006 no virus found
BitDefender 7.2 10.12.2006 Backdoor.Flyagent.A
CAT-QuickHeal 8.00 10.11.2006 no virus found
ClamAV devel-20060426 10.11.2006 no virus found
DrWeb 4.33 10.11.2006 BackDoor.Doofly
eTrust-InoculateIT 23.73.20 10.11.2006 no virus found
eTrust-Vet 30.3.3127 10.11.2006 no virus found
Ewido 4.0 10.11.2006 Backdoor.FlyAgent.a
Fortinet 2.82.0.0 10.12.2006 no virus found
F-Prot 3.16f 10.12.2006 no virus found
F-Prot4 4.2.1.29 10.12.2006 no virus found
Ikarus 0.2.65.0 10.11.2006 no virus found
Kaspersky 4.0.2.24 10.12.2006 no virus found
McAfee 4871 10.11.2006 no virus found
Microsoft 1.1603 10.12.2006 Backdoor:Win32/FlyAgent.A
NOD32v2 1.1798 10.11.2006 no virus found
Norman 5.80.02 10.11.2006 no virus found
Panda 9.0.0.4 10.11.2006 Bck/FlySkag.A
Sophos 4.10.0 10.05.2006 no virus found

唉，唉，唉，啥都不说了……

至于这个病毒到底是啥，网上的结果太多，偶就偷个懒不贴了。。

----

好奇心是魔鬼，也是学习的动力。在缓存目录下还发现了别的文件，顺藤摸瓜之下，终于知道了有个叫“易语言”的东东（一种编程语言，也可以用来为程序加壳），官方网站在这儿。

在其官方网站上，偶找到了这篇文章——

尊敬的易语言用户：你们好！
易语言新版本在每次推出之前，均要进行多达五种以上杀毒软件的查杀确认没有病毒后才上传提交给用户使用，并且我们编译生成产品的环境是封闭的，不可能感染病毒。此外易语言已经由中国科学技术委员会中国软件评测中心检测通过（见测试报告），取得科技成果鉴定证书，被国家火炬计划立项，因此请广大用户放心，易语言本身绝对没有病毒。
我公司产品易语言自推出后，一直以来受到广大用户的好评，使用人数急剧上升，从而用户用易语言编写发布的软件有几十万份之多。但有极个别用户违反国家法律使用易语言编写病毒或木马散发，更有竞争对手公司用易语言捆绑病毒发布恶意程序，再加上某些杀毒软件厂家仍采用落后的特征码识别技术查杀病毒，在获取以上病毒或木马文件特征码时错误地在易语言编译出来的正常可执行代码数据中采集，从而导致将易语言编译出来的正常软件一并误报为病毒。
我公司采取了对易语言自身的改造：将有可能产生误报病毒的特征码去除，但这样被动地修改并不能彻底解决问题，过了不久又有新的误报发生，防不胜防；其次在文件中内嵌了说明文字，以让杀毒厂家能正确找到易代码的地址，还建立了专门给杀毒厂家测试的页面，起到了一定的作用，但个别公司仍视而不见，依然我行我素。
我公司对外寻求通过与杀毒厂家积极沟通，以帮助他们消除软件的缺陷。建立了专门供杀毒公司使用的网站（见资源网）。沟通过的杀毒厂家有：瑞星、金山、江民、北信源、东方卫士、驱逐舰、安博士、木马克星、熊猫、卡巴斯基、KILL、Macfee、PC-Cillin、AVK、诺顿、NOD32等。目前基本上与国内的杀毒公司建立了良好的沟通渠道，但极个别国外杀毒厂家不重视中国的市场，还是会发生误报病毒的现象。
对一些长期不予解决问题的杀毒厂家我公司也采取了法律的手段，以挽回我公司的损失。其中于2005年1月将北京卡巴斯基公司告上法院。通过法院两审，判决卡巴斯基公司败诉（见法院判决书），不久该公司在电脑报上公开道歉（见道歉声明）。
在交涉中，多次收到一些杀毒厂家的道歉信。（见附件）
在此请我们的用户耐心向您的客户解释清楚情况，劝其最好改用优质的国产杀毒软件，我们推荐的是江民公司的KV系列产品。另外我公司将会坚持不懈地尽快解决此类问题，请大家放心。

易语言公司

-----

由此看来，被我当成病毒的那个文件，只是一个易语言解释器，它只是在解壳过程中临时释放出来而已。为了验证这一点，我又运行了一下那个软件，然后退出，果然Explore.exe和另外两个文件都自动删除了。

当然，尽信网不如无网，至于到底是怎么回事，现在还不能得出最终结论。

同时也建议易语言作者，使用什么名字不好，偏偏要和灰鸽子一样使用Explore.exe呢？？