今日,PConline软件频道收到网友“仙人掌”同学来信,说是最近被一个误报弄得心神不宁;后来通过简单测试,发现乃是ESET NOD32误报。
| 软件名称: | ESET NOD32 |
| 软件版本: | 3.0.684 简体中文版 |
| 软件大小: | 23400k |
| 软件授权: | 共享 |
| 适用平台: | Win9X Win2000 WinXP Win2003 Vista |
| 下载地址: | ESET NOD32 |
邮件原文照登如下:
------------------------------------------------------------
最近在网站发布页面后,在本地打开老是提示有特洛伊木马,弄得我很紧张,以为是网站会不会被挂马了,立刻联想到了最近流行的微软的漏洞,可是查了半天也没查到什么,上网搜了这个木马的信息,貌似跟网页中的iframe代码相关,看了下,我们的网页模版是带防止右键拷贝的,有个语句<iframe src=*></iframe>
写了个测试的网页,代码如下:
<html>
<head>
<title>关于iframe误报</title>
<meta http-equiv=“Content-Type” content=“texthtml; charset=gb2312”>
</head>
<body>
<noscript>
<iframe src=*></iframe>
</script>
</body>
</html>
一保存成 1.html(或任意文件名,编注),NOD32立刻报上面的提示。
------------------------------------------------------------
于是,PConline软件频道依照上文情况测试了一下,果然ESET NOD32弹出警报(软件版本为2.7):
图1 NOD32防毒系统警告
实际测试后可以看到上图结果,这是否一次小小的误报?在发稿的同时,亦已将此问题反馈到ESET中国官方,希望可以尽快解决啦。
来自ESET中国官方的答复(7.13晚):
我们发现了 <iframe src=*></iframe> 这样一行代码,那么我们可以确定正是这行代码触发了NOD32的启发式扫描报警的,iframe 框架挂马是网页挂马常用的技术,而 src=* 又是挂马加密技术的典型特征之一,NOD32因此将其定义为将被检测的特征码。
也就是说,严格意义上这不能算是误报,而是以下两个因素触发了ESET NOD32的Threatsense.net启发式扫描报警:
1、网页木马经常利用iframe框架嵌套恶意脚本
2、“src=*” 可能会包含隐藏的不安全因素
而如果想要屏蔽检测到威胁的警报,只需点击进入“高级设置 > 用户界面 > 警报和通知”,然后把相应复选框勾去掉即可。
图2 ESS设置选项:屏蔽桌面通知
