新新的Winrar 5.0 Beta生成专用5.0版rar，360杀毒爱说它是恶意软件？？？

小飞侠.net

CiInitialize 发表于 2013-4-30 23:49
是红伞误报的，他自己在VirusTotal上也报了，见19楼

忘了，云不支持压缩包~~抱歉，睡了。

CiInitialize

分析了一下红伞这个误报，应该是扫描畸形rar文件的启发规则写得比较囧导致

红伞启发库里应该有这么一条规则：
如果文件以"Rar!"开头（判断是否rar格式文件，比较山寨，rar5以前文件头实际是7个字节，参考官方资料）
而且文件大小大于32个字节
而且文件的第7个字节不是0

就直接将文件报为启发病毒(Heur.Malware)

而Winrar这次更新rar5格式，正好撞到了红伞的这个规则

根据rar官方的格式定义，rar5的格式文件头标记改为了8个字节，之前第7字节签名固定是0，现在固定为1，这样就全部撞到了红伞的启发规则，被报了

构建一个33字节的文件，只保留文件头（4个字节）和非0的第7个字节，用红伞扫描，直接就报了，所以这个规则相当囧

数据是这样的，只要33字节就可以～

526172210000010000000000000000000000000000000000000000000000000000

附件我放了这种文件上来，外层是正常的旧版rar格式，里面的ppp.test 是33字节的实验文件，用红伞或virustotal扫描直接就报了

将上面的十六进制复制到winhex（粘贴时选择ascii-hex格式）之类的16进制编辑工具后保存，也可以制造误报文件

oiiren

应该是误报 可能是新版本的新的rar格式跟老的有些不同 之后360在监测的时候发现这个rar格式的算法跟原来不一样有些可以 所以误报了吧 或说这5.0版的winrar界面没啥变化啊

ssama

CiInitialize 发表于 2013-5-1 00:33
分析了一下红伞这个误报，应该是扫描畸形rar文件的启发规则写得比较囧导致

红伞启发库里应该有这么一条规 ...

果然很囧。。。
GJ FOR ANALYSIS

siwaqishi

误报而已 信任的话就用吧 也不知道5.0改进了什么

Flameocean

CiInitialize 发表于 2013-5-1 00:33
分析了一下红伞这个误报，应该是扫描畸形rar文件的启发规则写得比较囧导致

红伞启发库里应该有这么一条规 ...

厉害！！膜拜了

360技术支持G

您好，此问题目前已经解决，感谢反馈~

Robinhua

CiInitialize 发表于 2013-5-1 00:33
分析了一下红伞这个误报，应该是扫描畸形rar文件的启发规则写得比较囧导致

红伞启发库里应该有这么一条规 ...

透彻，赞

小飞侠.net

360技术支持G 发表于 2013-5-3 10:05
您好，此问题目前已经解决，感谢反馈~

谢谢回复

Flameocean

360技术支持G 发表于 2013-5-3 10:05
您好，此问题目前已经解决，感谢反馈~

你反应太慢了，你看看上面的MJ0011那么快就解决问题了，哈哈