查看: 12681|回复: 64
收起左侧

[讨论] 小红伞高启发和病毒库到底有多强?举例为证,2013年的老样本!

  [复制链接]
经常无语
发表于 2014-9-24 07:46:24 | 显示全部楼层 |阅读模式
本帖最后由 经常看海 于 2014-9-24 07:51 编辑

被AV-T八月份的真实世界保护测试中小红伞查杀100%误报0的成绩打动,昨天把ees5(nod32的商业版)卸了换成Avira2014free,缘起还是eset区的这个帖子,
http://bbs.kafan.cn/thread-1773039-1-1.html
意外发现自己安装的ees5汉化版居然识别不了2013年就出现的木马,有点失望了,再说eset在AV-T真实世界保护测试成绩一直很中庸,误报虽然很少,但漏报也不少。

正好卸载了ee5,装上Avira2014free版和comodo5.12,以为这回总能杀了吧?

有意思的事情发生了,Avira2014free居然认为无毒?
病毒库已经更新到最新版,高启发也全部打开了,所以请别说是病毒库太老,或者没设置好的原因。


同样的样本文件上传到vt是可以被55家流行杀软中35家认定是盗号木马,包括eset的英文版也报毒,eset中文版不能杀,是为了降低国内特色软件误报率,eset中文版把病毒库中关于易语言部分阉割了。除此之外卡饭几种用户使用率最大的杀软,只有Avira没报毒。

https://www.virustotal.com/zh-cn/file/9d2834ba6c3d0857e3cab5c4b9215f5010277e01127463f25e5f7b56d34532d7/analysis/

所以结论来了,杀软还是要靠用户及时上报入库,2013年发现的老木马,eset有人上报,Avira就一直没人上报,所以一直不能查杀?

Avira的上报系统设置真心反人类,居然不是集成在程序里,害的我反复看了几次才确认没有,网页版上报地址还要爬梯子才能登录(至少在本机是如此)。所以哪位路过的兄弟顺手上报了吧?

样本地址

http://bbs.kafan.cn/thread-1478519-1-1.html
Test V0.32.zip
https://att.kafan.cn/forum.php?mod=attachment&aid=MjAzOTM3MHxhOWFlYTIyOXwxNDExNTE0NjkwfDkyMTI2N3wxNDc4NTE5


PS:个人没装虚拟机,所以用右键扫描过了一遍,没敢双击,欢迎哪位装了虚拟机和Avira的朋友双击测试,看Avira到底能不能防得住这个样本?



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +10 收起 理由
心跳回忆 + 10 感谢提供分享

查看全部评分

诸葛亮
发表于 2014-9-24 08:46:27 来自手机 | 显示全部楼层
把文件添加到隔离区,在隔离区也可以上报的
yaoyunjia
发表于 2014-9-24 11:55:40 | 显示全部楼层
什么网络还要爬梯子上报啊
经常无语
 楼主| 发表于 2014-9-24 13:41:27 | 显示全部楼层
yaoyunjia 发表于 2014-9-24 11:55
什么网络还要爬梯子上报啊

电信adsl,点击那个网址无法访问,用阿根廷就能访问,懒得上报了,对了你试了这个样本没,是不是不能识别?
经常无语
 楼主| 发表于 2014-9-24 13:42:34 | 显示全部楼层
诸葛亮 发表于 2014-9-24 08:46
把文件添加到隔离区,在隔离区也可以上报的

多谢提醒,才换到小红伞,不清楚这个。
yaoyunjia
发表于 2014-9-24 14:23:32 | 显示全部楼层
本帖最后由 yaoyunjia 于 2014-9-24 14:26 编辑
经常看海 发表于 2014-9-24 13:41
电信adsl,点击那个网址无法访问,用阿根廷就能访问,懒得上报了,对了你试了这个样本没,是不是不能识别 ...


试了一下红伞不杀
经常无语
 楼主| 发表于 2014-9-24 14:29:12 | 显示全部楼层
yaoyunjia 发表于 2014-9-24 14:23
试了一下红伞不杀

就是嘛,按照楼上兄弟的提醒,我在隔离区上报了,看看红伞多久能入库?
saga3721
发表于 2014-9-24 14:33:25 | 显示全部楼层
文件 ID         文件名         大小(字节)         结果
27443230         Test%20V0.32.zip         370.81 KB         OK

以下位置提供了存档中包含的文件及其结果的列表:
文件 ID         文件名         大小(字节)         结果
27443231         Test V0.32.exe         640 KB         CLEAN


下面提供了与每个样本相关的详细报告:
文件名         结果
Test V0.32.exe         CLEAN

已确定“Test V0.32.exe”文件是“CLEAN”。 我们的分析人员未发现任何恶意内容。
经常无语
 楼主| 发表于 2014-9-24 14:51:15 | 显示全部楼层
saga3721 发表于 2014-9-24 14:33
文件 ID         文件名         大小(字节)         结果
27443230         Test%20V0.32.zip         370.81 KB         OK

http://bbs.kafan.cn/forum.php?mo ... amp;authorid=835934

作者大概要笑了,做这个样本就是为了骗杀软,想不到一年多过去了,还有上当的,成就感MAX。
saga3721
发表于 2014-9-24 14:56:44 | 显示全部楼层
经常看海 发表于 2014-9-24 14:51
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1478519&page=2&authorid=835934

作者大概要笑了 ...

微点右键扫描,运行均不报
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 14:06 , Processed in 0.141442 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表