安天对Nod32误报木马防线问题的说明

wangjay1980

安天对Nod32误报木马防线问题的说明

安天实验室 2007-08-18

     近日，安天实验室接到大量用户反馈，在安天木马防线升级、使用过程中，木马防线的新版主程序
被ESET 公司的Nod32产品2.7版报为木马，令用户无法正常升级、使用。经过安天安全分析与应急处理中心以及安天相关产品开发组的严格验证，证实为Nod32产品的误报。

     安天相关小组测试证实，在升级和使用木马防线的过程中，Nod32会将安天产品中的AGB5.EXE主程序（版本为4.8.6.0，发布日期为2007-08-06）误报为“Win32/Genetik木马变种”，并直接进行隔离，导致木马防线无法正常升级、使用。经测试，使用自2007-07-03到2007-08-17的病毒库，Nod32都会对该文件产生误报，但对于该文件的早期版本则不会误报。

     AGB5.EXE文件是安天木马防线产品的主程序，该程序是安天严格按照正规的系统调用标准进行编写
的，完全符合安全程序规范。与以往版本一样，为了尽量减少用户下载升级时间，该程序使用了aspack
工具2.12版进行压缩。经测试，该文件在压缩前不被误报，而压缩后的则会被误报。安天实验室猜测是
木马防线产品主程序AGB5.EXE经过压缩后与Nod32在“Win32/Genetik木马变种”上提取的特征产生碰撞，这说明Nod32对该条特征的提取是不够合理的。

     鉴于此事件对安天的用户构成了一定困扰，也可能对安天的用户信誉构成一定影响，因此安天特此
说明，希望用户不要惊慌，请放心使用安天的产品。并且安天正在就此事与ESET 公司进行紧急的接洽中，预计ESET公司在收到我实验室反馈后，会及时升级相关病毒库，避免这类误报事件再次出现。建议受影响用户在Nod32新病毒特征库发布前，临时卸载或暂时停用Nod32程序的实时监控。如有最新消息，安天将在第一时间向用户反馈。
原文：http://www.antiy.com/about/news/20070818.htm

jimmyleo

这个更说明Win32/Genetik……

hj5abc

看吧..Genetik闯祸了..

风野胤

nod的Win32/Genetik是一个很无敌的东西
不过也没理由加aspack都报啊

风野胤

很怀疑eset会不会理那个安天公司

hj5abc

win32/genetik.. 这个有的加壳正常软件会报,有的脱了壳的木马也会报..

The EQs

Genetik是根据字符串命名的。。。。正常的文件加上ASPACK一般不会报的。。。除非字符串里面包含Genetik。。。这个问题的确有点棘手。。。。

风野胤

扫描结果 :   17%的杀软(5/29)报告发现病毒
时间 :   2007/08/18 22:57:43 (CST)
软件名称 引擎版本 病毒库版本 病毒库时间 扫描结果 时间
a-squared 3.0.0.123 2007.08.16 2007-08-16 - 4.147
Arcavir 1.0.4 200708171725 2007-08-17 - 1.198
AVAST 1.0.8 000766-1 2007-08-17 - 3.042
AVG 7.5.48.442 269.12.0/959 2007-08-17 Generic6.OQS 1.571
BitDefender 7.60825.793349 7.14404 2007-08-18 - 3.434
CA (VET) 8.4.0.24 31.1.5069 2007-08-18 - 0.807
ClamAV  0.91.1 3983 2007-08-18 - 0.264
ewido 4.0.0.2 2007.08.18 2007-08-18 - 3.021
F-SECURE 5.51.6100 2007.08.15.03 2007-08-15 - 2.444
IKARUS T3.1.1.12 2007.08.18.69365 2007-08-18 DroppedWin32.Worm.Stration.EM 1.364
MKS_VIR 2.01 2007.08.16 2007-08-16 - 2.141
NOD32 2.70.8 2469 2007-08-18 probably a variant of Win32/Genetik trojan 3.230
nProtect 2007-08-17.00 36336 2007-08-17 - 8.555
QuickHeal 9.00 2007.08.18 2007-08-18 - 2.592
SOPHOS 2.47.0 4.19 2007-08-18 - 2.790
VBA32 3.12.2.2 20070818.0935 2007-08-18 - 1.777
VirusBuster 4.3.19:9 9.098.4/11.0 2007-08-18 - 4.047
冰岛杀毒 3.16.16 2007.08.17 2007-08-17 - 0.743
卡巴斯基 5.5.10 2007.08.18 2007-08-18 - 0.045
大蜘蛛 4.33 2007.08.18 2007-08-18 - 6.282
小红伞 7.4.1.62 6.39.1.16 2007-08-17 - 2.228
江民杀毒 10.00.650 2007.08.18 2007-08-18 - 0.724
熊猫卫士 9.00.00 2007.08.18 2007-08-18 Suspicious file 3.965
瑞星 19.0 19.36.52.00 2007-08-18 - 3.456
诺曼 5.91.04 5.90 2007-08-17 - 13.317
赛门铁克 1.3.0.24 20070817.009 2007-08-17 - 0.232
趋势 8.500-1001 4.657.00 2007-08-16 - 0.046
迈克菲 5.1.00 5100 2007-08-17 - 1.036
金山毒霸 2007.6.20.249 2007.8.18 2007-08-18 Win32.Troj.Unknown.687104


panda果然是无敌的

鄙视一下安天
明明金山也报的
它怎么不说
在中国用金山的人绝对比nod多

hj5abc

当nod32得以地报了个病毒后,发现只有ikarus,AVG,panda无敌的suspicious file也报了..

The EQs

已经通过在线上报发给eset。。。。偶还会发给斯洛伐克和二版的