小红伞v12又一特异表现-双扩展名压缩包被严重误报

xiaojinglf

今天收到一个样本。
原文件名称为：“高质量样本-足球.rar”
此文件小红伞报警，请特别注意：我在小红伞设置里面，将扫描器和实时监控的压缩包检查都是禁用的！！！、
！
！
压缩包里面只有一个文件，文件名是：“足球.wav.exe”
解压这个文件，小红伞不报。并且可以对此文件随便操作。

如果再次将这个文件打包为rar。，小红伞还是要报。但打包为7z不报。

下面再做另外一个实验；
将文件：“足球.wav.exe”改名为“足球.exe”。打包为rar小红伞不再报。
再次改名为”足球.doc.com“，打包为rar小红伞还是报。
但均不会报文件本身，只报rar包。

也就是说：只要将文件改名为双扩展名，并且最后扩展名为可执行文件，小红伞均报rar压缩包本身
而我设置均关闭了压缩包扫描。

于是我又到设置里面关闭扩展安全检查中的：双扩展名文件检查。这样设置后。不再报双扩展名文件的压缩包。


整个问题的矛盾在于：
当打开双扩展名检测后，对于含有恶意程序的双扩展名的可执行文件，居然小红伞不能检查出威胁。而将双扩展名可执行文件打包为rar压缩包后，小红伞报了压缩包。但是，我在扫描器和实时监控中均已关闭扫描压缩包。从小红伞报的名称来看，小红伞实时监控实际上是已经通过启发引擎检查过压缩包里面的文件名。

为了进一步证明我的猜测，所以我干脆找了一个正常的exe文件。将其改为双扩展名，比如将正常文件7z.exe改名为7z.txt.exe。然后打包为rar，果然。小红伞又报此压缩包。

因此我证明，只要发现压缩包里面的文件名有两个扩展名，并且第一个扩展名是系统常用扩展名、第二个为可执行扩展名就报会压缩包存在隐藏扩展名威胁。希望avira注意改进此问题。

solstice1988

这个样本里的文件提交红伞分析后得出的结果是CLEAN，但是论坛测试过的童鞋都说这个样本会删除文件并留下一个0kb的空壳子

aaa839

solstice1988 发表于 2011-11-25 13:46
这个样本里的文件提交红伞分析后得出的结果是CLEAN，但是论坛测试过的童鞋都说这个样本会删除文件并留下一个 ...

要直接於紅傘官方技術支援論壇上反映

xiaojinglf

的确会删除文件。
而我用正常文件打包也会误报
这个是小红伞bug
我已经在官方论坛发帖

xiaojinglf

更加郁闷的是；上传该文件到官方，居然被检查为：干净文件。
不知道avira在干啥。
这个恶意程序会修改所有磁盘分区的文件为0字节。

电影结束了

xiaojinglf 发表于 2011-11-25 19:13
更加郁闷的是；上传该文件到官方，居然被检查为：干净文件。
不知道avira在干啥。
这个恶意程序会修改所有 ...

不要上报了。。。
AVIRA知道这个问题的。。
基因的问题罢了。。。
等引擎更新吧

xiaojinglf

电影结束了 发表于 2011-11-25 19:15
不要上报了。。。
AVIRA知道这个问题的。。
基因的问题罢了。。。

很巧的是。这个刚被列入病毒库报了。
引擎未更新，vbase031.vdf 7.11.18.73库报的这个

solstice1988

电影结束了 发表于 2011-11-25 19:15
不要上报了。。。
AVIRA知道这个问题的。。
基因的问题罢了。。。

泪娃怎么知道德国人已经知道这个问题了，难道你受到了他们的“亲切”招待？

电影结束了

solstice1988 发表于 2011-11-25 20:13
泪娃怎么知道德国人已经知道这个问题了，难道你受到了他们的“亲切”招待？

德国人经常这样。。。谁用上新的引擎了

solstice1988

电影结束了 发表于 2011-11-25 22:43
德国人经常这样。。。谁用上新的引擎了

我正在用新引擎