查看: 3486|回复: 10
收起左侧

[讨论] 咖啡使用自动机这么大胆?

[复制链接]
尘梦幽然
发表于 2014-6-17 20:10:01 | 显示全部楼层 |阅读模式
本帖最后由 尘梦幽然 于 2014-6-17 20:12 编辑

http://bbs.kafan.cn/thread-1746950-1-1.html

这个样本,是不能运行的。

我在6月15日晚分别上报给迈克菲、比特梵德鉴定。
说实话,迈克菲的超快样本鉴定速度与普遍较慢的一众美系杀软形成无比鲜明的对比。一个小时后,我收到了回复的邮件:
McAfee Labs Sample Analysis

ID Number:  9013850   Identified: Generic.TRA

Synopsis:

Thank you for submitting your suspicious file(s) for analysis. Attached is an EXTRA.DAT file for extra detection.
This update will be added to our daily production DATs as soon as possible. Usually this will be within the next 48 hours but may be longer in certain circumstances.

Solution:

The attached EXTRA.DAT file will detect the following submitted files:

Filename            MD5 digest                                                      
--------            ----------                                                      
1.exe               fb0107f3abb0f312f6cd5e147f7128d4                                 

The EXTRA.DAT file should be copied into the directory where the other DAT files reside (the default folder is: C:\Program Files\Common Files\McAfee\Engine).
Additional information, including steps to deploy EXTRA.DAT files, is available in the following location: http://www.mcafee.com/us/threat-center/system-help/extra-dat.aspx  

Support:

McAfee Labs accepts file samples for analysis and possible inclusion into AV signature DAT updates.
Additional information for submitting samples to McAfee is available in the following location: https://kc.mcafee.com/corporate/index?page=content&id=KB68030

Product related questions and comments can be addressed via McAfee Technical Support and Customer Services, including:
* Assistance with detection and cleaning or removal of malware
* Product installation and update questions
* Product usage questions

Please use the following links to reach our Technical Support group:
Business Customers: http://www.mcafee.com/us/support.aspx
Home Customers: http://home.mcafee.com/root/support.aspx

Regards,
McAfee Labs: McAfee Labs

McAfee Labs: http://www.mcafee.com/us/threat-center.aspx
McAfee Labs Blog: http://blogs.mcafee.com/mcafee-labs




上报样本16个小时后,Bitdefender也给了我回复,可是结果是:
Hello,

Thank you for your patience.
The analysis of the file / website has been completed:

File list:

- 1_exe (not detected).

Analysis result:

Damaged file.

File 1_exe declared IGNORE

Please do not hesitate to contact us should you have any other inquiries in the future.

Have a great day.


Cristina POTERASU
Bitdefender Technical Support Engineer



这个样本我这边测试看不到任何行为,而迈克菲却以极快的速度把它鉴定为病毒。而比特梵德这边却说明文件已经损坏,不具备威胁。

我在想,这到底是病毒定义上的差别,还是说迈克菲在审核自动机处理结果上面不如比特梵德严格呢?
rlx
发表于 2014-6-17 20:29:41 | 显示全部楼层
我觉得不至于  其实咖啡入库大家普遍反应快  但就是国内吃不消  没办法
尘梦幽然
 楼主| 发表于 2014-6-17 20:36:31 | 显示全部楼层
本帖最后由 尘梦幽然 于 2014-6-17 20:37 编辑
rlx 发表于 2014-6-17 20:29
我觉得不至于  其实咖啡入库大家普遍反应快  但就是国内吃不消  没办法


咖啡的速度可以说超越任何一个提供完整特征码检测的厂商。结合美国厂商人工处理速度极慢的特点,实际上肯定自动机大量应用不必说,而且还要简化复核流程。不过,这次的事情让我对咖啡病毒鉴定的准确性和可信度产生了怀疑。
日渐颓废的我们
发表于 2014-6-18 08:23:15 | 显示全部楼层
所以咖啡最近的误报测试成绩下降……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
尘梦幽然
 楼主| 发表于 2014-6-18 08:29:49 | 显示全部楼层
日渐颓废的我们 发表于 2014-6-18 08:23
所以咖啡最近的误报测试成绩下降……

咖啡启用新的启发式引擎以后就变这样了。
蓝核
发表于 2014-6-18 12:50:23 | 显示全部楼层
本版区没有咖啡的官人也没有跟咖啡的有联系……这个我们猜不到
文件名: 1.exe
完整路径: C:\Users\j\Downloads\1\1.exe

____________________________



详细信息
稳定性未知,  极少用户信任的文件,  极新的文件,  不良





原始
下载自 
未知





活动
已执行的操作: 已执行的可疑操作: 无



____________________________



开发人员 
不可用


版本 
不可用


已识别 
2014/6/18 ( 12:45:59 )


上次使用时间 
不可用


启动项目 



____________________________


未知
此程序的崩溃历史记录未知。

极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

不良
有许多迹象表明此文件不可信。


____________________________





源文件:
haozipupdate.exe




创建的文件:
haozip_v4.3_up_multi.exe




创建的文件:
haozip.exe




创建的文件:
1.exe




____________________________


文件指纹 - SHA:
420daa6b859a9c94fe16dde8aa495b5698472aec2ba258b72cac456046fd5bc1
文件指纹 - MD5:
fb0107f3abb0f312f6cd5e147f7128d4

Attached is an EXTRA.DAT file for extra detection.
This update will be added to our daily production DATs as soon as possible. Usually this will be within the next 48 hours but may be longer in certain circumstances.


另外 相信我……这就是一个针对性的单独病毒码……还没有入库了……
尘梦幽然
 楼主| 发表于 2014-6-18 13:27:55 | 显示全部楼层
蓝核 发表于 2014-6-18 12:50
本版区没有咖啡的官人也没有跟咖啡的有联系……这个我们猜不到

下半句英文的意思不就是我们迟早会入库的意思么。。
诺顿那个分析并不是对文件定性的分析,你也明白。
cocabean
发表于 2014-6-18 21:33:58 | 显示全部楼层
日渐颓废的我们 发表于 2014-6-18 08:23
所以咖啡最近的误报测试成绩下降……

这个测试说的mcafee的误报率太夸张了一点,平时我用mcafee报毒也是常有的,不过都是一些破解类的东西,正常程序从来都没有报过,哪怕是QQ之类的灰色文件。相反的倒是蜘蛛和EAM有杀QQ的情况。
消停
头像被屏蔽
发表于 2014-6-19 15:49:31 | 显示全部楼层
和诺顿完全相反,诺顿是绝不入库!我5月末到现在上报的修改密码和QQ粘虫的样本没有入库的!
Hertz
发表于 2014-6-19 16:11:22 | 显示全部楼层
这几天咖啡对精睿样本的查杀率比BD系还高呢……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:42 , Processed in 0.128423 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表