【看360扫描报告】非原本文件是否等于木马？求鉴定~

时光鸟

系统环境：
系统：win7 sp1 U版，IE 8.0
QQ：2011 sp3原版 + HookQQ 外{过}{滤}挂
杀毒：ess套装（程序和病毒库为4.X 最新库本）
360: 安全卫士8.0beta1（四大引擎全开，全升级为最新库本）

一、可疑文件来源
我用HookQQ对QQ2011 sp3原程序进行功能修改（自定义组件+屏蔽广告+破解本地VIP+显IP等）
HookQQ版本原程序下载地址：http://hookqq.com/release/KillQQAd%201.0.0.88.rar
其中hookQQ中的xGraphic32.dll对原版QQ中的xGraphic32.dll文件进行了替换。

二、首先选择快速扫描：



快速扫描报告如下结果：



对扫描结果不进行任何处理，可以定位可疑文件为：D:\Program Files\Tencent\QQ\Bin\xGraphic32.dll

三、根据上述可疑文件位置换用自定义方式对QQ所在目录整体扫描：



结果正常，显示如下：



四、用ess进文件本身定位扫描：



扫描结果如下：



五、个人分析
1）快速扫描为360的引擎（云引擎）独立扫描，MD5与原QQ程序中对应文件对不上，报可疑文件是可以理解的，但报木马需要有相应根据，修改原程序并不一定是危险程序或木马！当然也可能是木马，而小红伞和ESS都漏报了也有可能。

2）自定义扫描时，四引擎联合分析，结果可能只有云引擎报告有问题，而启发引擎、QVM和小红伞都报告正常，综合结果报告正常。对这个猜测我进行了一个尝试（把QVM和红伞引擎关掉后进行和第三步同样的自定义扫描）：

结果也正常（结果画面同三中结果，这里就不重复截图了）
这样看，好像我的猜想是正确的，云引擎MD5显示可疑，但是启发式引擎没发现问题，综合报告也显示没问题！

六、我的疑问
1）非QQ原版程序顶多只能报非原版程序或可疑程序，为何360会报恶性木马？
2）快速扫描时仅云引擎参与是否存在准确性不高或误伤面较大的问题？
3）快速扫描和自定义扫描都是四引擎参与，为何结果相差这么大？难道快速扫描只有单步云？四引擎是浮云？
4）上传可疑文件如下，请网友帮助鉴定：

z13667152750

虽然360的本地也有云端的部分功能

但是qvm，BD等还是云端的识别率更高

所以光看本地扫描来推测云端引擎是否报毒还是有些问题的

其实最好是邮件上报给360，看360回信如何判断

不过，貌似有人反应360的邮件上报经常无回信......

z13667152750

希望有官方人员解释判断逻辑

为什么这些被替换的文件，有时是报可疑，有时又是直接报毒

时光鸟

z13667152750 发表于 2011-7-7 00:55
虽然360的本地也有云端的部分功能

但是qvm，BD等还是云端的识别率更高

请注意一个很有意思的问题，自定义扫描时和快速扫描时，界面上提示都是使用的四引擎：




那就是说，我主贴上的判断和这个显示是矛盾的，这时疑问又产生了，既然快速扫描和自定义扫描都是四引擎，何以自定义扫描和快速扫描同一个文件结果会有如此大的差别？

z13667152750

时光鸟 发表于 2011-7-7 01:27
请注意一个很有意思的问题，自定义扫描时和快速扫描时，界面上提示都是使用的四引擎：

也许的因为快速扫描扫描的是内存中正在运行的程序，所以采用更加严格的判断逻辑
自定义扫描则是单纯的扫描本地文件

仅是个人猜测，最好有官方的权威解释

xzhlksh

快速扫描中文件的位置很关键，自定义扫描没有关键位置这一逻辑的判断
原版文件被替换就有潜在的危险，这是对付未知盗号病毒的较为有效的方法。如果是用户自己替换，可以根据提示加信任啊
木头QQ因为路径不在默认路径，所以快速扫描扫到木头QQ的安装目录也未报毒

sfsren

win7美化的文件也全报木马，上传多引擎一个没报，太不人性化了，而且有感觉恐吓的意思  我用的那个qqext也是云引擎报毒 貌似非白即黑

笙儿

to楼主：
    根据楼主的测试来看，该文件的MD5值已经有了变化，与正常的MD5值略有不同。这是其一；其二，该文件被破解后（指的是破解版本的QQ程序），经常被插入恶性木马和病毒；其三：破解工具（如楼主所示工具及其类似工具软件）常被盗号团伙利用来插入病毒木马，因此，在进行云鉴定的时候，一般采取该文件（指的是正常QQ程序文件）的MD5值作为判断依据，如有不同MD5值出现初步断定为含有病毒木马的文件。
解决办法：
1、如是楼主自行修改的文件，请将之添加信任即可；
2、重新安装QQ程序。

chilson

那个是没有毒的 我已经报了多杀软扫描网 没一个报毒

这个我早就上报到360 到现在还没结果 还是按照版主的话来解决 我直接添加信任即可！

-oAo-

源文件被修改一般杀软都报毒的