卡巴报Password-protected-EXE 的分析结果

显示全部楼层 · 发表于 2007-9-14 18:07:53

卡巴在扫描某些压缩文件时会报 Password-protected-EXE ，如下图所示：

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

一直没想明白卡巴是根据什么，在不知道压缩包密码的前提下扫描出压缩包里有病毒的，刚才摸索测试了一下，发现了一些规律，故与大家分享下。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

分析过程：

我找了一些文件，其中一部分是病毒，其他一部分是正常文件，加密压缩后扫描，压缩格式包括zip和rar，发现出现了四种情况：

1. 文件带病毒，加密后扫描未报Password-protected-EXE
2. 文件带病毒，加密后扫描报Password-protected-EXE
3. 文件不带病毒，加密后扫描不报Password-protected-EXE
4. 文件不带病毒，加密后扫描报Password-protected-EXE

此外我发现，所有报Password-protected-EXE 压缩包都是zip格式的，没有一个是rar格式，至此判断出，报Password-protected-EXE 与压缩文件格式有关，与原文件是否带毒无关。
我把所有报Password-protected-EXE 压缩包集中起来，把所有密码改为不常用的，比如kafanluntan等等，发现卡巴仍报Password-protected-EXE ，至此判断与压缩密码也无关。
最后我注意到了压缩包的大小，经过分析，发现了其中的规律，另外其他一些分析步骤从略。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
分析结论：

同时满足以下所有条件，卡巴会报Password-protected-EXE

1. 被压缩文件为EXE格式。
2. 压缩包为ZIP格式。
3. 压缩包中只有一个EXE文件，除此之外没有其他任何文件。
4. 压缩后，压缩包大小介于1KB--150KB之间。
5. 压缩包要设有密码，密码随意。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

题外话：至此，以后大家看到卡巴报告Password-protected-EXE，不要急于删除文件，应该先把文件解压缩后，再用卡巴扫描，以判断文件是否真的带毒。欢迎大家测试，讨论。

[ 本帖最后由 Redevil 于 2007-9-14 18:19 编辑 ]

显示全部楼层 · 发表于 2007-9-14 18:18:10

这里提供一个范例，点击后卡巴会报Password-protected-EXE
大家放心，不是病毒，是一个重启删除的工具，解压密码123

显示全部楼层 · 发表于 2007-9-14 18:26:44

这也难怪，因为windows自带.zip的解压模式，同时体积太小后只有一个可执行文件，还加了密码，这些都符合病毒的标准，我县这可能是卡巴的启发式的误报吧。

显示全部楼层 · 发表于 2007-9-14 18:30:45

原帖由 天才杨威利 于 2007-9-14 18:26 发表
这也难怪，因为windows自带.zip的解压模式，同时体积太小后只有一个可执行文件，还加了密码，这些都符合病毒的标准，我县这可能是卡巴的启发式的误报吧。

这算不上启发，也就对符合一定规则的压缩包报毒
MS诺顿也有

显示全部楼层 · 发表于 2007-9-14 18:33:26

你还真能琢磨～肯定是你看了那个帖子，所以才测试出来的。。
不过，这个我们不能定论，毕竟只是测试和外加猜测，并无技术手段支持。

在当时看到那帖时，我就疑惑。为什么我有时从论坛下载带密码保护的附件是记“带密码保护”的，而并非弹出红色警报窗框（例如PP的汉化包），而这个却是报毒的。。。

http://bbs.kafan.cn/viewthread.php?tid=130311&extra=page%3D1

显示全部楼层 · 发表于 2007-9-14 18:42:48

原帖由 听雨醉 于 2007-9-14 18:33 发表
你还真能琢磨～肯定是你看了那个帖子，所以才测试出来的。。
不过，这个我们不能定论，毕竟只是测试和外加猜测，并无技术手段支持。

在当时看到那帖时，我就疑惑。为什么我有时从论坛下载带密码保护的附件是记“ ...

呵呵
是的
不过我觉得应该八九不离十了
至少卡巴是不能正确判断压缩包里的EXE是否真正带毒
它报的名称也说明了问题，只是 “受密码保护的EXE文件”名称还是挺准确的

显示全部楼层 · 发表于 2007-9-14 19:07:11

这也能算是启发~~

可能主要是因为国外有许多邮件木马喜欢把自己加密压缩打包，躲避查杀。

[ 本帖最后由 flo 于 2007-9-14 19:11 编辑 ]

显示全部楼层 · 发表于 2007-9-14 19:58:05

只是对可疑加密压缩文件的一种判断，任何加密文件，不知道密码，杀软都不可能检测文件是否有毒

显示全部楼层 · 发表于 2007-9-14 20:15:28

提示是“密码保护可执行文件”，仅仅是一种判断，作为病毒报值得商榷。

显示全部楼层 · 发表于 2007-9-14 20:22:30

原帖由 浪滔天 于 2007-9-14 20:15 发表
提示是“密码保护可执行文件”，仅仅是一种判断，作为病毒报值得商榷。

我觉得也是
如果改成黄色的警告就更为贴切

[已解决] 卡巴报Password-protected-EXE 的分析结果