请高手验证EVEREST V4.00.1059 是木马还是误报

gonghaiqi

请高手验证EVEREST V4.00.1059 是木马还是误报请高手验证EVEREST V4.00.1059 是木马还是误报,我是KAV7.0.00125 检测的.

这是文件的下载地址,http://webdisk.cech.com.cn/download/file_share_5549911.html

(注:这个木马卡巴可以删除)

qigang

RX20.17.60不杀。

sweeb

运行后的确是有问题，光华KILL

浪滔天

可能是误报，但这与特征码无关，卡巴可能是基于一些封装的行为方式作出的判断。

可以参考这个帖子：http://bbs.kafan.cn/viewthread.p ... p;page=1#pid2022365

gonghaiqi

原帖由 浪滔天 于 2007-11-11 17:39 发表
可能是误报，但这与特征码无关，卡巴可能是基于一些封装的行为方式作出的判断。

可以参考这个帖子：http://bbs.kafan.cn/viewthread.php?tid=153328&;page=1#pid2022365

楼上对我有帮助帖子的内容是：
1：卡饭汉化的 kav7.0.0.125 发现Trojan.Win32.Chifrax.a前段时间下得 一个卡饭最终版 kav7.0.0.125 扫描了下，
发现有 Trojan.Win32.Chifrax.a 卡巴病毒库为 07.11.06 22：51
请各位也关注下看，具体这问题是什么？

今天又去 麦田的那个 博客上下，，也发现同样问题

2：我试过了，是报的整个安装文件，并没有解开后进行扫描，可能卡巴对采用某种打包方式无法解包进行扫描且超过一定大小的安装文件都会报，估计不是基于特征码，而是根据安装文件的打包特征作出的判断。

3：这个是早先的封装版本,当时采用封装加密,卡巴无法解包进行扫描,所以卡巴将其视为病毒给杀了!

注：主要是这个软件是《姗姗来迟软件光盘V3.1》.iso光盘里的一个程序，光盘里还有一个（kav7.0.0.125 发现Trojan.Win32.Chifrax.a）文件报一样的的是报木马
我试了将iso光盘里的EVEREST V4.00.1059 删除换别的EVEREST 版本，那么这个光盘就不能自动运行这个EVEREST 程序了。但资源管理器里还是可以运行的。
这也可能是《姗姗来迟软件光盘V3.1》作者为防止改动他的作品吧。

是不是可以看成是这个结果：“这个是早先的封装版本,当时采用封装加密,卡巴无法解包进行扫描,所以卡巴将其视为病毒给杀了!”

[ 本帖最后由 gonghaiqi 于 2007-11-11 20:45 编辑 ]

wangjay1980

把这个问题发到官方论坛的样本区，让那里的工程师给你个解释

浪滔天

应该是这样的，早在麦田的那个被报木马的时候我就做过这样的推断，这次只是得到了印证！
卡巴这么报也有他的道理，这么大的可执行文件被加密不能解包，这种行为不是正常程序所应该有的，谁也不知道里面有什么东西。当然这可能造成误报，但任何从正规渠道出来的正常可执行文件都不会这么做，所以卡巴可能并不担心由此造成的误报问题。

sam.to

我把這個文件傳給卡巴了

sam.to

樓主，卡巴給我回覆：
Hello.
This file is already detected. It's not a false alarm
Please update your bases.

Please quote all when answering. Do not forget to include you registration data.
-----------------
Regards, Maslennikov Denis
Virus Analyst, Kaspersky Lab.

Ph.: +7(495) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com   http://www.viruslist.com

意思是文件真的有木马

[ 本帖最后由 kato9096 于 2007-11-11 23:50 编辑 ]

浪滔天

这个更像是自动回复的，怀疑是不是真的有病毒分析师进行过分析，当然也不排除这个文件里面确实有猫腻的可能。
如果谁会封装就可以采用类似的方法用正常文件封装一个卡巴不能解包的可执行文件（当然文件得大一些，起码要和这个样本差不多大），然后用卡巴扫描看看结果就知道答案了。