卡巴斯基严重误报

黄金马甲出租

难得一见的卡巴斯基误报（绝对精彩，不诚者勿入）
2007-11-01 18:20

今天在卡饭弄到个样本，畸变过的rar文件，看图： 用rar自带的修复给修复了： 解压出如下文件，病毒and帮凶 再看卡巴报的病毒名与另一个不是病毒的文件的名字 用OD跟了一下这个几何画笔.exe，吐了一堆模板及其主程序到%temp%里面，在%temp%里面找到主程序OD跟上去，如图：钩子，钩子，钩子，钩子，钩子，一共五个，两个鼠标钩子，一个getmessage，剩下两个和木马一点关系也没有，分析一下这种画笔类的程序下鼠标钩子是完全正常的，文件属于卡巴的误报。 那么这个误报是如何产生的呢？ 而且两个全部误报且名字一样？字节不一样，文件性质不一样 首先作为杀软中数一数二的脱壳高手，异变的压缩包没有解出来似乎很难理解，而且这个异变的rar自解压文件是可以运行的，其二那个几何画笔究竟为何会被误报？ 难道百年不遇的特征码定位错误被我遇到了？那也不对，一个是rar的压缩包，一个是没有加壳的程序，特征上面应该不会出现什么问题，何况卡巴是所有杀软中特征定位的高手，这是有目共睹的。 究竟是哪个误报连累了哪个，还是卡巴使用了传说中的病毒分析机来批量分析病毒，迷茫中…… 希望路过的朋友有认识卡巴的帮忙说一下，如果真的是裙带误报那么以后这样误报的几率就太大了，如果不是，那么那个正常程序是怎么误报的呢？那个程序和病毒根本不着边，卡巴的分析是不可能这么差劲的。

[ 本帖最后由 黄金马甲出租 于 2007-11-2 08:58 编辑 ]

googlehack

样本呢？

畸形rar文件会被不止一家杀毒软件报病毒

xuhl196

[:01:] [:01:] [:01:] [:01:]

qigang

楼上灌水！

hsien1128

為什麼字的編排要這樣？

wangjay1980

唉，现在这社会

浪滔天

图文并茂啊

Redevil

楼主怎么不把东西发上来呢？

黄金马甲出租

样本昨天忘了，8好意思哈

capsshift

第一个OK。EXE，生成的1.BAT红伞启发报了。
看了一下文件，太长了，大致是什么清除垃圾用的。
其他文件，红伞和微点都未报。