Ikarus antivirus对大部分恶意文件仅仅只是拉黑MD5（诚招双击）

Dust-;羅錠

在最近的测试中，我发现了一个惊人的事实：Ikarus 也就是常说的妖刀，对待恶意文件的方法就是拉黑其MD5。(或许包括其他文件指纹)

为什么我会想要这样测试呢？这其实有多方面的原因。

首先，IK的文件扫描速度实在太快，快到我都不觉得它真的扫描了。然后，IK应对现在卡饭的病毒包越来越乏力，经常是大幅度落后其他杀软，但我又一直在上报，这让我不得不怀疑他有没有添加特征。最后让我突然有这个想法的是IK病毒分析部长对我一个问题的回复，提到了hashes，我就怀疑他直接拉黑。

在我修改了一个Ikarus报毒的文件的MD5之后，Ikarus就无法检测到了，接下来我又测试了多个恶意文件，结果也是如此。补充：但我仍不能保证Ikarus没有别的检测技术，只是目前测试到的都是如此。

接下来我又测试了一下Malwarebytes，修改MD5之后只对个别检测产生影响，而且都是对启发、机器学习报毒的结果产生影响，***有明确报毒名称的都不受影响***。经过测试，同样会产生影响。

以这个样本为例：https://bbs.kafan.cn/thread-2122328-1-1.html
修改前：39 / 64 https://www.virustotal.com/#/fil ... 26a8f5cb5/detection
修改后：21 / 63 https://www.virustotal.com/#/fil ... 7a2827a66/detection
一共过掉了AegisLab、AVware、Cyren、Fortinet、Ikarus、McAfee、Microsoft、NANO-Antivirus、Palo Alto Networks、Panda、Sophos、Symantec、Tencent、TrendMicro、VIPRE、Webroot，神奇的是Malwarebytes在VT上竟然没扫出，但我的电脑上可以（Trojan.Agent），并且修改MD5之后就扫不出了。360仍然检测出但名称改变了。

看到这么多杀软在修改MD5之后都无法检测，我都有点怀疑是不是这个MD5修改器有问题了，现在想知道的是经过修改的文件还能不能运行，是不是行为还和源文件一样。在此诚招双击检测员，如果行为仍然一样，那么这个MD5修改器都可以当一个免杀工具了。

这个修改器有四种改法，目前发现并不是所有经过修改的文件都能运行，但大部分基本都可以。

我是用论坛上的这个MD5修改器进行修改的，如有疑问大家可以自行测试。

Nocria

稍后测试一下。

zpbag

还没用过Ikarus，不过如果真如楼主所说，那。。。Ikarus处理的方式也太草率了。

卡江东N

妖刀当年好歹也是火过一阵子的杀软啊，当年卡饭还有人做了汉化，那时候也不是这样吧。。。

Dust-;羅錠

humanlwj52 发表于 2018-5-18 16:24
稍后测试一下。

我最近也是存在几点怀疑，才进行了这个实验。

首先，IK的文件扫描速度实在太快，快到我都不觉得它真的扫描了。然后，IK应对现在卡饭的病毒包越来越乏力，经常是大幅度落后其他杀软，但我又一直在上报，这让我不得不怀疑他有没有添加特征。最后让我突然有这个想法的是IK病毒分析部长对我一个问题的回复，提到了hashes，我就怀疑他直接添加hash。

Dust-;羅錠

卡江东N 发表于 2018-5-18 21:31
妖刀当年好歹也是火过一阵子的杀软啊，当年卡饭还有人做了汉化，那时候也不是这样吧。。。

然而当初那个汉化的人就是我。

卡江东N

Dust-;羅錠 发表于 2018-5-18 21:52
然而当初那个汉化的人就是我。

是嘛，这我确实记不住了，但是我感觉似乎是10年左右的事情来着

Dust-;羅錠

卡江东N 发表于 2018-5-18 21:54
是嘛，这我确实记不住了，但是我感觉似乎是10年左右的事情来着

现在我可以彻底放弃它了，坑爹的是，我还有几年的授权，IK的价格可不便宜。只可惜没早点擦亮我的眼睛。

卡江东N

Dust-;羅錠 发表于 2018-5-18 21:56
现在我可以彻底放弃它了，坑爹的是，我还有几年的授权，IK的价格可不便宜。只可惜没早点擦亮我的眼睛。[: ...

妖刀现在是彻底脱离主流了，你这个key基本也就砸手里了

Dust-;羅錠

卡江东N 发表于 2018-5-18 21:59
妖刀现在是彻底脱离主流了，你这个key基本也就砸手里了

我只能说他现在已经不如瑞星了。