查看: 5033|回复: 31
收起左侧

[讨论] WHAT???这是要疯掉的节奏吗???

[复制链接]
你好,再见
头像被屏蔽
发表于 2018-2-22 16:06:39 | 显示全部楼层 |阅读模式
本帖包含3个版区的内容,不知道该发哪里,如有不妥还请版主手下留情。。。

前几天看到了一个火绒的网友在论坛发问,请求官方鉴定是否为误报,当时又正好是春节期间,官方都没上班,于是我便把样本下载下来帮他看看,接下来便有了奇葩的事情。。。


ESET:
嗯,安全,绝对可靠,在看看火绒的报毒名。。。
火绒:
额,还报威金,这有点。。。由于各种原因,ESET被我抛弃了,换成了360,这时,官方回复了:

真的是威金???
360:
怎么也是安全???还有,我的文件没被感染呀???


样本:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ylmfhhh
发表于 2018-2-22 16:11:46 | 显示全部楼层
请不装任何杀毒软件,随她去吧
2605276004x
发表于 2018-2-22 16:38:22 | 显示全部楼层
这是毒吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xdct
发表于 2018-2-22 16:42:25 | 显示全部楼层
本帖最后由 xdct 于 2018-2-22 17:25 编辑

哈哈,火绒误报~
首先,这个文件是含毒,含有vk病毒,其次他是被修复后的,不会感染的文件。
就好比乙肝病毒尸体携带者,和乙肝病毒活体携带者,从携带者本身来看,一个是正常人,一个是乙肝患者。
从分离出来的文件来看就是vk病毒



其次,火绒的报毒,不仅仅是误报这么简单,从侧面来看,火绒的特征提取,并非其官方说的动态虚拟机提取特征
要么他提取了文件的一个死特征,好比其他国外杀软直接提取crc一样
要么其分离了捆绑文件,并且分别跑他的虚拟机。

从修改第二个文件的mz头和md5来看,发现火绒走的是分离捆绑文件分别跑其虚拟机来报毒。
这种引擎设计,是可以解决一部分捆绑类病毒的玩法,但对于这类文件来说就是误报了。


第三,为什么火绒可以发现这样的老毒。
从其病毒名来看
Virus/Viking.a!dll
这个既然报后面的捆绑,所以我们在vs上看看第二个捆绑文件是啥病毒名

理论上火绒和瑞星同源,病毒名应该一致,但我们看出瑞星的报毒是直接全文死特征,而特征中带a标记的只有卡巴和毒霸了。
也就是说,别人报啥,他就咋报。
至于火绒病毒名中的dll,应该是代表捆绑的意思。
不过,话说回来既然都识别出捆绑,为何不把后面的带毒文件干掉,而保全前面的呢???

附件为分离的样本,注意里面有毒字的是病毒,会运行感染。
密码 1






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
JAYSIR + 1 版区有你更精彩: )

查看全部评分

tg123321
发表于 2018-2-22 16:53:54 | 显示全部楼层
wd也报了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
julia跺跺
发表于 2018-2-22 17:00:32 | 显示全部楼层
瑞星安全云终端解压报毒。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
火绒工程师
发表于 2018-2-22 17:10:42 | 显示全部楼层
本帖最后由 火绒工程师 于 2018-2-22 17:12 编辑
xdct 发表于 2018-2-22 16:42
哈哈,火绒误报~估计这种暴力搜索磁盘的方法,和vk的类似,所以特征误报了~

之前回复不是误报,没有更详细说明下,工程师对此进行回复了  http://bbs.huorong.cn/thread-44124-2-1.html

    确认不是误报:   原始文件中包含一个“子PE” 文件,在原始文件偏移0x203f0位置开始
您可以试试将该子PE截取出来,用其它杀毒软件扫描。
工程师截取后的文件VT的结果也可以给您参考下~https://www.virustotal.com/#/fil ... 753464a6e/detection



有问题欢迎给我们反馈



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
桑德尔
头像被屏蔽
发表于 2018-2-22 17:18:02 | 显示全部楼层
火绒工程师 发表于 2018-2-22 17:10
之前回复不是误报,没有更详细说明下,工程师对此进行回复了  http://bbs.huorong.cn/thread-44124-2-1.h ...

我看的不是太明白,是这个文件包含恶意代码还是确实展现了恶意行为?
xdct
发表于 2018-2-22 17:27:12 | 显示全部楼层
火绒工程师 发表于 2018-2-22 17:10
之前回复不是误报,没有更详细说明下,工程师对此进行回复了  http://bbs.huorong.cn/thread-44124-2-1.h ...

乙肝病毒尸体携带者,和乙肝病毒活体携带者,从携带者本身来看,一个是正常人,一个是乙肝患者
能一样么?
paul846586
发表于 2018-2-22 20:16:03 来自手机 | 显示全部楼层
为何刚刚我无法访问卡饭,是被黑了吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 20:16 , Processed in 0.140087 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表