金山毒霸2012 Beta版可能又把病毒样本判白了

显示全部楼层 · 发表于 2011-8-7 12:47:23

本帖最后由天使的愤怒于 2011-8-7 12:50 编辑

两个Dll文件无法在金山沙箱中运行，因此无法判断是否存在恶意行为（上传VirusTotal后，发现这两个Dll文件实际上已被其他安全软件查杀）。b (1).exe、b (6).exe在金山沙箱内没看出有什么可疑的行为，b (5).exe貌似是网维大师的更新程序，b (7).exe在金山沙箱中运行后，弹出了一个QQ2009的登陆界面，估计这个是用来钓QQ号的恶意程序。

病毒样本下载链接：http://bbs.kafan.cn/thread-1046917-1-1.html

顺便附上所有样本的MD5信息，以便官人在后台查询。

文件名称：C:\Documents and Settings\Administrator\桌面\b\b\b (1).dll
文件大小：41952 字节
文件版本：4, 3, 0, 1
修改时间：2011年7月19日 18:30:12
MD5    ：8F4885991845CE3E10D2E5EE76769D23
SHA1 ：3028D7E6EF339A238D84346A4511E7F679EA54A5
CRC32 ：6CA802BF

文件名称：C:\Documents and Settings\Administrator\桌面\b\b\b (1).exe
文件大小：73728 字节
修改时间：2011年7月19日 18:30:14
MD5    ：7D60822A53CAC19B1146225DC89F8C75
SHA1 ：0FD10F1C16E7EEE3A11814B70F517624CA5BECC8
CRC32 ：61A776D0

文件名称：C:\Documents and Settings\Administrator\桌面\b\b\b (2).dll
文件大小：40960 字节
文件版本：1.00
修改时间：2011年7月19日 18:30:12
MD5    ：6AC6A14FA9849BE78DD75C4D973E8AAB
SHA1 ：244E32DE0C8AF550C63B66FE5B31D8D2C64715F0
CRC32 ：DFE80E8A

文件名称：C:\Documents and Settings\Administrator\桌面\b\b\b (5).exe
文件大小：14882953 字节
修改时间：2011年7月19日 18:30:22
MD5    ：5BB8F50EF1AB10C2956CE9A6662EA196
SHA1 ：EE72C07E5CF7BB58FE989E6A8CCBBD42984D26E4
CRC32 ：30218A29

文件名称：C:\Documents and Settings\Administrator\桌面\b\b\b (6).exe
文件大小：549376 字节
文件版本：2.6.7.1
修改时间：2011年7月19日 18:32:08
MD5    ：06C7F47150923CE4D4491D346679C1CF
SHA1 ：12317C506E088F8EABDFC8DB3FC24154B94BFB6D
CRC32 ：0E7CA842

文件名称：C:\Documents and Settings\Administrator\桌面\b\b\b (7).exe
文件大小：1212416 字节
修改时间：2011年7月19日 18:30:10
MD5    ：7CBB6488F135E13B52801A799F925263
SHA1 ：512F90954492BF78FAE20CA2B03024BC2CAE5719
CRC32 ：E25DFF49

显示全部楼层 · 发表于 2011-8-7 14:35:03

这个要注意一下

显示全部楼层 · 发表于 2011-8-7 14:56:21

真的误加白，那岂不是全局奔溃啊，啥边缘啥主防都没用

显示全部楼层 · 发表于 2011-8-7 15:02:29

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2011-8-7 15:13:49

如果觉得不好，可以考虑换用别的软件。例如XXX。
哈哈，那位同学好可爱。不过云鉴定黑报白太纠结，我双击样本K+也没反应，Comodo沙盘不太会用，也看不出什么东西。。。。

显示全部楼层 · 发表于 2011-8-7 15:16:27

编辑

显示全部楼层 · 发表于 2011-8-7 16:17:45

zyjc168 发表于 2011-8-7 15:13
如果觉得不好，可以考虑换用别的软件。例如XXX。
哈哈，那位同学好可爱。不过云鉴定黑报白太纠结，我双击样 ...

我倒不是觉得金山不好，只是觉得经常出现将病毒样本误判为白的现象，实在是太让人失望了。应该好好想想办法，解决这个问题，比如在及其鉴定出结果后，可以让用户选择是否将病毒样本提交给反病毒分析师来进行人工鉴定，以确保最终结果的正确。

显示全部楼层 · 发表于 2011-8-7 16:36:05

本帖最后由 K_Ghost! 于 2011-8-7 16:36 编辑

某个程序是启动器跑起同目录下的b.exe 它本身无毒吧？

显示全部楼层 · 发表于 2011-8-7 17:07:32

天使的愤怒发表于 2011-8-7 16:17
我倒不是觉得金山不好，只是觉得经常出现将病毒样本误判为白的现象，实在是太让人失望了。应该好好想想办 ...

黑盘白确实需要注意~不然就会出问题~
另一方面~主防有时（只是有时）不看是否是白文件~遇到可疑行为一样会拦截~
至于你提到的“比如在及其鉴定出结果后，可以让用户选择是否将病毒样本提交给反病毒分析师来进行人工鉴定，以确保最终结果的正确。”~这个想法很好~但是我觉得鉴定人员会疯掉~因为很多人都认为人工比机器鉴定准（不然你也不会说这个想法了）~
大多数人都有这种想法~就是既然可以转人工~那我就转人工吧~万一是误报呢~然后就选择了转人工~结果加重了工作人员的负担~也给那些真正是误报而转人工的文件变相延长了鉴定时间~是不？

显示全部楼层 · 发表于 2011-8-7 17:14:38

yege0201 发表于 2011-8-7 17:07
黑盘白确实需要注意~不然就会出问题~
另一方面~主防有时（只是有时）不看是否是白文件~遇到可疑行为一样 ...

那至少也要定期检查一下鉴定结果啊，或者指定专门的人员来做这项工作，这样就不会导致工作量增加了吧？再夸张点，可以设置为只有金山会员才能在云鉴定出结果后再次将病毒样本提交给反病毒分析师进行人工鉴定。

hdy0769 头像被屏蔽	发表于 2011-8-7 15:02:29 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
hdy0769 头像被屏蔽
	回复举报

[金山] 金山毒霸2012 Beta版可能又把病毒样本判白了