猜忌是混乱的开始，希望大家正确看待！

china_killer

至今陆续有用户向我们上报：小红伞误报火绒UPDATE.EXE(一个多月前)，前段的360误报火绒（也差不多一个多月），现在的金山误报火绒！甚至有人开始猜测：是否存在“暗杀”！！随着火绒的用户使用量的增多，这些问题出现机会有所增加。


在这里我们特别和大家说明下情况：

    第一：我们收到的360及金山误报的情况（截图来看），多数是启动项，它们没有识别出火绒的数字签名而报的。直接误报为病毒的情况，我们只在前阵子小红伞中发现过，已经联系其移出误报了。

   第二：国内有些厂商也出现误报病毒的情况，我们做过分析。结论为。（误报摆动和更新不及时两种情况）

         1.误报摆动：
             当前的杀毒行业，云引擎泛滥，多数产商会在收到样本文件时，直接使用其它家公司的扫描引擎进行
         “自动”处理，如果发现有些“可信”公司引擎报毒的情况下而自己的引擎不报。会直接加入自己的病毒库。
         在这时，就会产生误报摆动效应！
                如：A伞杀毒误报了某软件，而在A伞杀毒移出误报的时间段内。（有可能是几天）B杀毒使用A伞引擎
        在其云处理系统中进行样本自动分析（收到误报样本的情况下）会误将这个误报“传播”到自己的病毒库中。
       而A伞在去除误报后，B杀毒，如果没进行样本回扫，也没有接到误报报告。是不会自动去除误报的。这就
       造成误报的传递，而最严重的情况下。。。A伞也拿B杀毒的扫描结果自动入库（误报控制机置不完善时）就
       会出现，一个样本。。在几个杀毒软件间。来回误报～～～～· 这就是误报摆动了。


       2.更新不级时
          有些国内产商直接使用了其它公司的引擎，如小红伞引擎被国内多家公司OEM，他们在使用OEM引擎时
      通常在这些引擎的病毒库更新方面会和原产商的更新会有一个时间差。。。这就造成了。原产商已经去除误报
      而OEM产商还会报毒的情况。。


最后：
     目前看，火绒被误报只是以上两种情况的小小体现，至少我们没有发现同行公司有刻意的进行所谓“暗杀”，我们希望火绒的用户们，理性思考问题。不用猜忌，有问题就直接给相应的产商反馈就可以了。相信这样才能促进国内安全行业的健康发展。   
                                                                                                          感谢大家对火绒的支持。
                                                                                                         

784696777

沙发

lh920215

辟谣还是要支持的

lh920215

784696777 发表于 2012-7-14 14:00
沙发

你小心了 灌水是要付费的

jefffire

云误报机制部分讲的比较清楚。

实际上还存在很多导致误报的原因。比如特征码提取时为了追求广谱性或者病毒分析师经验不足，提取特征码不良，无巧不巧火绒文件片段匹配了这个特征码导致误报。而误报厂商加白时仅仅是MD5加白，没有修正特征码，这样当火绒更新时，误报继续产生。

还有产生误报的原因是“跟风”，这在灰色软件中尤为严重。一个文件当病毒分析师吃不准时，往往会看其主要竞争对手报不报，如果报，那就跟着报。

迷惘的执著

嗯嗯，事情清楚了就好，2L这是自寻死路

Lintel-TR

“误报摆动”，学习了！

china_killer

jefffire 发表于 2012-7-14 14:05
云误报机制部分讲的比较清楚。
实际上还存在很多导致误报的原因。比如特征码提取时为了追求广谱性，或者病 ...

嗯，确实误报的产生原因可能是很多种。。。

我只能是解释下，最近看到的红伞引擎误报引起的一些小问题。

卡饭的高手们应该多出来做一些普及性解释。。。。。用户的力量才是最大的，只要用户理性了。安全产商
自然就必须理性了。

天蓝色

非常感谢辟谣，祝火绒越做越好

22667999

我想起了有的公司就会用误报来炒作，非要说成 云暗杀。