关于avast一种恶意URL报毒的经验分享

Q1628393554

相信很多人都知道这些了，分享给新接触小a的用户，就当我来水吧，哈哈，有错误还请指正
avast有一种常见的报毒方式如图所示（引用 9chengwo 的截图，在此感谢）
从这图里大家会觉得小a在打自己脸，怎么还报自己呢？
现在具体说下，当报毒名为 URL:Mal 时，实际报的是恶意地址，而不是访问该地址的程序，任何程序只要访问该地址都会报，故据此不能判断进程项对应文件是否有毒。
现在看下被报的URL，IP地址211.162.60.50，对应广东省广州市 长城宽带，在我印象中看到了好多这种情况，比如：
http://bbs.kafan.cn/thread-1820861-1-1.html
http://bbs.kafan.cn/thread-1835053-1-1.html
传说部分宽带是把一些文件缓存到自己的服务器上，当用户访问真正的地址下载文件时，实际跳转到了供应商自己的服务器上，而该地址被小a拉黑，据说当年卡饭也被小a拉黑了，原因就是卡饭有毒区，访问卡饭会产生大量报毒事件。
总结：
1、小a报毒时看清报毒名，URL:Mal 不能判断进程文件有毒；
2、对于恶意URL，可以做下具体查询，心里有数，确认无毒可考虑添加排除；
3、安全不容马虎，类似本帖中截图的情况，进程文件可能是浏览器，甚至是系统文件，怎么就能肯定进程文件没被感染，又怎么能排除正常更新被劫持到其他地址下载病毒的情况呢？ 发动人脑，自己考虑是否文件有问题，小a报恶意URL的时候多着呢。
PS：第3条这次不会歧义了吧

So_indigo

我关闭恶意软件URL了

chānwàng

对于本帖中截图的情况，怎么就能肯定进程文件没被感染，又怎么能排除正常更新被劫持到其他地址下载病毒的情况呢？

小A文件没有数字签名么？看一下签名还有木有效不就知道了。

Q1628393554

chānwàng 发表于 2015-8-23 10:28
小A文件没有数字签名么？看一下签名还有木有效不就知道了。

不知可以伪造签名不？哈哈，帖子只是举例那么一说，这种报法没说文件是否有毒，但不能排除这种可能性。

白露为霜

Q1628393554 发表于 2015-8-23 14:44
不知可以伪造签名不？哈哈，帖子只是举例那么一说，这种报法没说文件是否有毒，但不能排除这种可能性。

伪造很难。可以排除了。
把相关文件发到样本区看看呗

Q1628393554

root1605 发表于 2015-8-23 14:47
伪造很难。可以排除了。
把相关文件发到样本区看看呗

额，看来我表达是有问题了，原贴我只是借用了看似小a打脸的例子说恶意URL的事，最后说下报了URL问题，文件其实也可能是有问题的，不是专指图里的小a。

zhec

为什么我访问卡饭会报什么paodns。com？

Q1628393554

zhec 发表于 2015-9-2 09:39
为什么我访问卡饭会报什么paodns。com？

这我就不清楚了，dnspao有说是360的加速节点，不知道到底咋回事。而且网上有挺多小a报它的例子

etao

最近卡饭又被小A报了 也是一样的情况

gtc

开着小A直接访问不了卡饭的帖子，悲催啊！