查看: 8423|回复: 14
收起左侧

[讨论] 宏病毒office文件扩展名改为.vir是不是就扫描不出来了?

[复制链接]
沧桑浪子
发表于 2016-3-13 20:16:17 | 显示全部楼层 |阅读模式
本帖最后由 沧桑浪子 于 2016-3-13 20:18 编辑

宏病毒office文件扩展名改为.vir是不是就扫描不出来了?
最近下载的精睿样本,解压出来,防护和扫描后,文件夹里剩余了几个,单独扫描文件夹里的,没有病毒,但是把文件夹打包成.zip,再扫描就会扫描出很多,发现很多都是宏病毒,刚试着把文件夹里的修改了几个,改为.doc或者.docx,再右键扫描就扫描出来病毒了,还有些是和java有关系的!
http://bbs.360safe.com/thread-6759796-1-1.html

应该是:无法识别正确后缀的原因
不过,为什么打包后再扫描就能识别其真实文件了呢?
Windows XP系统,
E:\360杀毒\360sd,
360杀毒版本 5.0.1.7011A。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hez2010
发表于 2016-3-13 20:20:24 | 显示全部楼层
本帖最后由 hez2010 于 2016-3-13 20:23 编辑

看你那个360论坛贴子里的查杀结果,基本都是靠的OEM引擎。进一步说明了360自主本地查杀引擎的不足:宏病毒查杀引擎居然靠文件扩展名来识别文件而不是通过解包对每一个对象进行查杀,都是靠着比特或小a的OEM引擎解包查杀,说明360自主本地引擎的文件解包能力太弱或者有可能根本没有能力查杀复合文件。。。
沧桑浪子
 楼主| 发表于 2016-3-13 20:24:43 | 显示全部楼层
hez2010 发表于 2016-3-13 20:20
进一步说明了360自主本地查杀引擎的不足:宏病毒查杀引擎居然靠文件扩展名来识别文件而不是通过解包对每一 ...

扫描结果
======================
高危风险项
----------------------
C:\Documents and Settings\Administrator\桌面\2016.3.4.zip=>2016.3.4/46.vir        宏病毒(macro.office.07vba.gen.1)        未处理
C:\Documents and Settings\Administrator\桌面\2016.3.4.zip=>2016.3.4/50.vir        宏病毒(macro.office.07vba.gen.1)        未处理
C:\Documents and Settings\Administrator\桌面\2016.3.4.zip=>2016.3.4/04.vir=>yUIPKJGF.class        JAVA.Dldr.Agent.48889        未处理
C:\Documents and Settings\Administrator\桌面\2016.3.4.zip=>2016.3.4/46.vir=>word/vbaProject.bin        virus.office.obfuscated.1        未处理
C:\Documents and Settings\Administrator\桌面\2016.3.4.zip=>2016.3.4/25.vir=>DOC_2016.exe        HEUR/QVM17.0.Malware.Gen        未处理
C:\Documents and Settings\Administrator\桌面\2016.3.4.zip=>2016.3.4/35.vir=>1.com        感染型病毒(Win32/Trojan.Spy.888)        未处理
C:\Documents and Settings\Administrator\桌面\2016.3.4.zip=>2016.3.4/50.vir=>word/vbaProject.bin        virus.office.obfuscated.1        未处理

扫描结果
======================
高危风险项
----------------------
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/02.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/03.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/07.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/08.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/10.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/11.vir        heur.macro.download.rb        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/13.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/22.vir        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/24.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/27.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/39.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/04.vir=>DOC1183022-pdf.exe        感染型病毒(Win32/Trojan.PSW.235)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/40.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/46.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/49.vir        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/02.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/03.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/35.vir=>invoice_07_016pdf.exe        HEUR/QVM03.0.Malware.Gen        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/07.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/08.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/10.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/13.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/18.vir=>__attach_version1.0_#00000000\__substg1.0_37010102        宏病毒(macro.office.07vba.gen.1)        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/18.vir=>__attach_version1.0_#00000000\__substg1.0_37010102=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/24.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/27.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/39.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/40.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/46.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
C:\Documents and Settings\Administrator\桌面\2016.3.13.zip=>2016.3.13/49.vir=>word/vbaProject.bin        virus.office.obfuscated.1        已删除
沧桑浪子
 楼主| 发表于 2016-3-13 20:30:32 | 显示全部楼层
hez2010 发表于 2016-3-13 20:20
看你那个360论坛贴子里的查杀结果,基本都是靠的OEM引擎。进一步说明了360自主本地查杀引擎的不足:宏病毒 ...

不过也有例外的
也有断网离线误报的,扫描解压出来的不报,压缩后扫描报毒!

360杀毒扫描日志

病毒库版本:2016-03-13 14:23
扫描时间:2016-03-13 20:26:29
扫描用时:00:00:04
扫描类型:右键扫描
扫描文件总数:465
项目总数:5
清除项目数:0

扫描选项
----------------------
扫描所有文件:是
扫描压缩包:否
发现病毒处理方式:由用户选择处理
扫描磁盘引导区:是
扫描 Rootkit:是
使用云查杀引擎:是
使用QVM人工智能引擎:是
扫描建议修复项:否
常规引擎设置:BitDefender Avira(小红伞)

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\exe文件关联修复工具.zip


白名单设置
----------------------


扫描结果
======================
高危风险项
----------------------
C:\Documents and Settings\Administrator\桌面\exe文件关联修复工具.zip=>exe文件关联修复工具/SK激活工具.exe        QVM11.1.Malware.Gen        未处理
C:\Documents and Settings\Administrator\桌面\exe文件关联修复工具.zip=>exe文件关联修复工具/win7 exe文件关联修复.scr        QVM42.1.Malware.Gen        未处理
C:\Documents and Settings\Administrator\桌面\exe文件关联修复工具.zip=>exe文件关联修复工具/驱动人生6.0单文件版.exe        QVM18.1.Malware.Gen        未处理
C:\Documents and Settings\Administrator\桌面\exe文件关联修复工具.zip=>exe文件关联修复工具/驱动人生6.0单文件版.exe=>Uninst.exe        木马程序(Trojan.Generic.10350190)        未处理
C:\Documents and Settings\Administrator\桌面\exe文件关联修复工具.zip=>exe文件关联修复工具/驱动人生6.0单文件版.exe=>usbdetect.dll        QVM30.1.Malware.Gen        未处理

360杀毒扫描日志

病毒库版本:2016-03-13 14:23
扫描时间:2016-03-13 20:26:39
扫描用时:00:00:01
扫描类型:右键扫描
扫描文件总数:4
项目总数:0
清除项目数:0

扫描选项
----------------------
扫描所有文件:是
扫描压缩包:否
发现病毒处理方式:由用户选择处理
扫描磁盘引导区:是
扫描 Rootkit:是
使用云查杀引擎:是
使用QVM人工智能引擎:是
扫描建议修复项:否
常规引擎设置:BitDefender Avira(小红伞)

扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\exe文件关联修复工具


白名单设置
----------------------


扫描结果
======================
未发现威胁文件
hez2010
发表于 2016-3-13 20:31:37 | 显示全部楼层
沧桑浪子 发表于 2016-3-13 20:24
扫描结果
======================
高危风险项


查杀引擎是360的自主引擎吗?如果是的话说明你这个问题只是个偶然bug,如果不是的话那就是我说的。你把常规引擎关掉试试。
vm001
发表于 2016-3-13 21:56:19 | 显示全部楼层
扫描识别文件后缀名也是优化扫描的一种方式,不影响正常防护,比如把一个.doc改为vir后缀,这个文件还能打开吗?如果不能,那他还有什么危害呢?
沧桑浪子
 楼主| 发表于 2016-3-13 22:02:59 | 显示全部楼层
vm001 发表于 2016-3-13 21:56
扫描识别文件后缀名也是优化扫描的一种方式,不影响正常防护,比如把一个.doc改为vir后缀,这个文件还能打 ...

貌似也可能是本身是.zip压缩文件的原因
明天我再测试,不知道是不是需要.zip和宏病毒同时满足。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
沧桑浪子
 楼主| 发表于 2016-3-13 22:03:49 | 显示全部楼层
vm001 发表于 2016-3-13 21:56
扫描识别文件后缀名也是优化扫描的一种方式,不影响正常防护,比如把一个.doc改为vir后缀,这个文件还能打 ...

奇怪的是在压缩包里就能扫描出病毒来
vm001
发表于 2016-3-13 22:05:05 | 显示全部楼层
沧桑浪子 发表于 2016-3-13 22:03
奇怪的是在压缩包里就能扫描出病毒来

你用的是360压缩?换成winrar试一下
利刀1937
发表于 2016-3-14 08:47:01 | 显示全部楼层
沧桑浪子 发表于 2016-3-13 22:03
奇怪的是在压缩包里就能扫描出病毒来


这个应该扫描时自解压问题。
如果是压缩包格式,那么360杀毒就会反复结解压这个文件。
如果不是压缩包格式,那么可能就不会解压这个文件。
以前我遇到过这样的问题。样本就是卡饭样本区的。文件下载下来是奇怪的格式。打开方式是360压缩。网盾报毒。你在解压后上传,重新下载。他就不报毒。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 17:08 , Processed in 0.127086 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表