误报成都银行的密码卫士插件为MALWARE

yonsonline

首先，不知道将此问题作为BUG反馈是否违反版规。若有违反，请管理员谅解并指正。
其次，连续签到，终于能发帖了，小小庆贺一下。
下面陈述问题。

操作系统：Windows XP
产品版本：14.0.6.570         2014-8-15
搜索引擎：8.03.24.30         2014-9-24
病毒定义：8.11.174.250     2014-9-27
疑似误报：成都银行密码卫士插件
下载地址：http://dl1.bocd.com.cn:8099/down ... rd/PassGuardAll.exe
文件路径：C:\WINDOWS\system32\Microdone\PassGuard\npPassGuard.dll
情况描述：进行全盘扫描时，小红伞将成都银行的密码卫士插件检测为病毒或恶意程序“TR/Black.Gen2 [trojan]”。当时就怀疑是不是误报，毕竟是从成都银行官方网站下载的插件。于是通过http://www.virscan.org/进行上传扫描，除了奇虎360报毒之外，其他杀毒软件都显示没问题。

后续情况：在通过“爱红伞”网站的误报反馈系统上报之后，第二天收到如下邮件：

尊敬的先生或女士:

感谢您向 Avira 病毒实验室发送电子邮件。
跟踪号: INC01743006.

下面提供了文件及其结果的列表:

文件 ID        文件名        大小(字节)        结果
28217823        npPassGuard.dll        1.79 MB        MALWARE

下面提供了与每个样本相关的详细报告:

文件名        结果
npPassGuard.dll        MALWARE

已确定“npPassGuard.dll”文件是“MALWARE”。 我们的分析人员将这种威胁命名为“TR/Black.Gen2”。 术语“TR/”指的是能够窥探数据、侵犯您的隐私或对系统进行不需要的修改的特洛伊木马。 从版本 7.10.09.190 开始，我们的病毒定义文件(VDF)中将添加这项检测。

此外，您可以在此处查看分析结果:
http://analysis.avira.com/en/sta ... ;incidentid=1743006

An overview of all your submissions can be found here:
http://analysis.avira.com/en/ove ... 1sUEcEMA5p0R00UtPQ7

请注意: 如果您有任何问题，请访问我们的网站 http://www.avira.com/zh-cn/support 了解详情

谨致问候！
Avira 病毒实验室

---------------------------------------------
Avira Operations GmbH & Co. KG
Kaplaneiweg 1, 88069 Tettnang, Germany
电话: +49 (0) 7542-500 0
传真: +49 (0) 7542-500 3000
Internet: http://www.avira.com

CEO: Travis Witteveen
总部: Tettnang
商业登记簿: AG Ulm HRB 630992
---------------------------------------------

也就是说，小红伞方面仍然将这一密码插件视作MALWARE。像这种情况将如何处理？请论坛内的高手指教。

情歌王子

不清楚啊，不过小红伞是个很严谨的公司，应该不会无的放矢吧。

yonsonline

情歌王子 发表于 2014-9-30 11:15
不清楚啊，不过小红伞是个很严谨的公司，应该不会无的放矢吧。

严谨与误报并不冲突，再严谨的公司也有可能出错。我做出其误报的判断，是基于：第一，银行官网下载的密码插件如果都有毒，那这银行也快完蛋了吧，毕竟现在网银已经开始属于基本生活工具一类的了，它不可能如此作死。第二，通过http://www.virscan.org/的在线扫描，也只有360报毒，甚至在在线扫描当中，小红伞本身都没报毒——当然，可能跟病毒库时期不同有关——这也挺奇怪的了。

情歌王子

有可能插件有什么不轨行动吧，看看大神怎么说吧。

Miostartos

VS的参考价值很小，毒库引擎那些脱节了
另外不要相信公司的节操

yonsonline

STCn1000 发表于 2014-9-30 11:31
VS的参考价值很小，毒库引擎那些脱节了
另外不要相信公司的节操

说得对，不要相信商业公司的节操。但是，我其实相信的也不是它们的节操，而是和它正常进行银行金融运营的利益相比，做病毒来窃取用户的信息乃至金钱，其代价太大，风险太高，得不偿失——得不偿失，这就违背了最基本的商业逻辑，它不必这样做的。

村上三四

https://www.virustotal.com/en/fi ... nalysis/1412049206/
不像误报哦

yonsonline

村上三四 发表于 2014-9-30 11:54
https://www.virustotal.com/en/file/22f41fcfec18c15ede46e910e28ae5e5750db457137f30592c5d77f26c4e80fd/ ...

我刚才也到你这个网址扫描了一下，的确好多软件都报毒……

Miostartos

村上三四 发表于 2014-9-30 11:54
https://www.virustotal.com/en/file/22f41fcfec18c15ede46e910e28ae5e5750db457137f30592c5d77f26c4e80fd/ ...

看完了
我大概是明白咋回事了
一溜烟报毒一串的报VM壳
成都银行也是有创意

yonsonline

STCn1000 发表于 2014-9-30 12:00
看完了
我大概是明白咋回事了
一溜烟报毒一串的报VM壳

啥意思？不懂，能否深入浅出地解释一下？我是十足菜鸟哈。