小红伞高启发和病毒库到底有多强？举例为证，2013年的老样本！

显示全部楼层 · 发表于 2014-9-26 17:46:02

管家云下载完就杀了。瑞星也KILL。

显示全部楼层 · 发表于 2014-9-27 12:46:26

本帖最后由 xiaojinglf 于 2014-9-27 12:47 编辑

楼主看来太多虑。
这个问题似乎不是太难吧
直接测试这个文件就行了
目前我测试过了。唯一的行为就是隐藏窗口。没有其他现象了。
报毒的理由是：隐藏窗口，有干坏事的潜力
不报的理由是：它没有实质性危害
你说是矛好，还是盾好。
哈哈

显示全部楼层 · 发表于 2014-9-30 00:24:41

xiaojinglf 发表于 2014-9-27 12:46
楼主看来太多虑。
这个问题似乎不是太难吧
直接测试这个文件就行了

多虑？嘿嘿，希望是我想多了，隔壁样本区版主新发现的样本，这次更奇怪，同一个文件，VT上小红伞引擎报毒，小红伞2014free右键扫描却认为没毒？

http://bbs.kafan.cn/thread-1775366-1-1.html

photo.zip

36.09 KB, 下载次数: 109

小红伞2014free版不杀，已加入隔离区上报给小红伞官方测试人员。

但是vt上的小红伞引擎却报毒，有点糊涂了，难道free版和pro、s版的病毒库有区别？
https://www.virustotal.com/zh-cn/file/c45e90976e5d98ecd982dc7d3414cc3f992f1ebe6f176288493e66b7f376d168/analysis/1412007116/
SHA256:       c45e90976e5d98ecd982dc7d3414cc3f992f1ebe6f176288493e66b7f376d168
文件名：       photo.exe
检出率：       17 / 54
分析日期：       2014-09-29 16:11:56 UTC ( 0 分钟前 )

显示全部楼层 · 发表于 2014-9-30 09:07:18

本帖最后由经常看海于 2014-9-30 09:10 编辑

早上起床收到红伞病毒实验室的回复邮件，重新右键扫描了一次，果然可以杀了，反应入库速度还是不错的，但是以后谁要说free和pro，S版病毒库是一样的？嘿嘿！

这是红伞病毒实验室回复邮件正文

---------------------------------------------
尊敬的先生或女士:

感谢您向 Avira 病毒实验室发送电子邮件。
跟踪号: INC01743924.

我们收到了以下存档文件:

文件 ID       文件名       大小(字节)       结果
28278400       quarantine.zip       36.38 KB       OK
以下位置提供了存档中包含的文件及其结果的列表:

文件 ID       文件名       大小(字节)       结果
28278191       photo/photo.exe       53 KB       MALWARE

下面提供了与每个样本相关的详细报告:

文件名       结果
photo/photo.exe       MALWARE

已确定“photo/photo.exe”文件是“MALWARE”。我们的分析人员将这种威胁命名为“TR/Injector.xogn.1”。术语“TR/”指的是能够窥探数据、侵犯您的隐私或对系统进行不需要的修改的特洛伊木马。从版本 7.11.175.114 开始，我们的病毒定义文件(VDF)中将添加这项检测。

此外，您可以在此处查看分析结果:
http://analysis.avira.com/en/status?uniqueid=RV89dHEUF8ySc36R944fUTvUf4AFfXch&incidentid=1743924

An overview of all your submissions can be found here:
http://analysis.avira.com/en/overview?uniqueid=RV89dHEUF8ySc36R944fUTvUf4AFfXch
请注意: 如果您有任何问题，请访问我们的网站 http://www.avira.com/zh-cn/support了解详情
谨致问候！
Avira 病毒实验室

---------------------------------------------
Avira Operations GmbH & Co. KG
Kaplaneiweg 1, 88069 Tettnang, Germany
电话: +49 (0) 7542-500 0
传真: +49 (0) 7542-500 3000
Internet: http://www.avira.com

CEO: Travis Witteveen
总部: Tettnang
商业登记簿: AG Ulm HRB 630992
---------------------------------------------

显示全部楼层 · 发表于 2014-9-30 18:46:23

xiaojinglf 发表于 2014-9-27 12:46
楼主看来太多虑。
这个问题似乎不是太难吧
直接测试这个文件就行了

我去，晓月的东西好久没有见到了。

显示全部楼层 · 发表于 2014-10-1 17:00:53

经常看海发表于 2014-9-30 09:07
早上起床收到红伞病毒实验室的回复邮件，重新右键扫描了一次，果然可以杀了，反应入库速度还是不错的，但是 ...

诺顿防护下：
进行扫描会报毒删除。但是如果直接运行，则可以允许正常运行，也是隐藏窗口行为。

显示全部楼层 · 发表于 2014-10-5 11:47:51

本帖最后由安全强迫症于 2014-10-5 11:49 编辑

哈哈 avast! 杀了，还好没用红伞

显示全部楼层 · 发表于 2014-10-5 11:53:19

安全强迫症发表于 2014-10-5 11:47
哈哈 avast! 杀了，还好没用红伞

提示一下，楼上有官方测试人员的回复邮件，红伞官方认定这个样本没有威胁，所以没有加入样本库，这个与技术是否高明无关，纯粹是衡量标准不一样，有的杀软严格些，有的杀软松一点。

显示全部楼层 · 发表于 2014-10-6 18:33:54

入库速度怎么样啊

显示全部楼层 · 发表于 2014-10-10 00:27:47

我剛剛收到回覆
病毒分析說這是
Clean EasyLang5 program.
如果要報毒,就要有充足理由為何需要Flag此灰程式為有害
請盡可能描述此程式會有甚麼惡意行為
隨了曉月大說的隱藏程式畫面外

否則只會維持原判

[讨论] 小红伞高启发和病毒库到底有多强？举例为证，2013年的老样本！

评分

本帖子中包含更多资源