【真实抄袭案例】两枚非常有趣的误报样本

Jerry.Lin

上网随便找个cracker，翻VT确认安全性，碰到抄抄抄，真实案例，真的是太明显了，那些抄的厂家一点脸都没有，故发帖吐槽……

1. Data reset.exe   VT：https://www.virustotal.com/#/fil ... 83f50cf09/detection



原来ESET自动机误报为 a variant of Generik.KDNONFL trojan， 后来虚拟机验证确认误报后提交至ESET，现在报法为：

Data reset.exe - Win32/HackTool.Crack.GI potentially unsafe application


然后看看VT




认真看

有报的中 没有一个报RiskTool或者PUP， Hacktool，反而全部都是Trojan Generic的报法，可以说都是抄的

我自己都吓到了


2. CyberGhost Premium Crack - [PiratPC.Net].exe VT：https://www.virustotal.com/#/fil ... nalysis/1533992941/




这个就更恐怖了

卡巴误报为Trojan-Ransom.Win32.Blocker.laku，在虚拟机内确认不是Ransom, ESET报HackTool, 目前还没上报，看看VT



揪出抄得最赤裸裸的：Ransom，Blocker这个报法的玩家：


AegisLab - Troj.Ransom.W32.Blocker!c
Avira        - TR/Blocker.qzqib
Jiangmin  - Trojan.Blocker.imf
NANO-Antivirus - Trojan.Win32.Blocker.fccmap
Qihoo-360  -Win32/Trojan.Ransom.4fc
Tencent - Win32.Trojan.Blocker.Piaj
TrendMicro  - Ransom_Blocker.R03FC0PEJ18
Zillya - Trojan.Blocker.Win32.39949


其他不排除也有抄的，具体无法确认就不点了

然后再一起看下这两个样本，都是HackTool,然而第一个没有一个厂商分辨出是HackTool，第二个却一堆（比如说BD）,这结果多半也是抄的



==================================
这种乱抄危害性特别大，特别是对于依赖VT判断文件安全的普通用户。以前B大发抄抄贴制造误报样本测试还我没有反应这么强烈，现在碰到真实案例真的觉得这种行为非常无耻……

dreams521

投资少,见效快

liangxy

dreams521 发表于 2018-8-14 19:21
投资少,见效快

ZA貌似有卡巴引擎？报法都一样

dreams521

liangxy 发表于 2018-8-14 19:28
ZA貌似有卡巴引擎？报法都一样

没用,仅仅是看到报法

liangxy 发表于 2018-8-14 19:28
ZA貌似有卡巴引擎？报法都一样

za确实oem了卡巴，它甚至还有uds检测，算是亲儿子了。bd系里只有Vipre有这种待遇，其它都没有bd的云检测。

Picca

是不是Ransom 光用虚拟机确认不准吧，万一有环境监测呢。准确报毒名字的误报一般较少，lz不如先上报卡巴或者eset看看

Jerry.Lin

Karna 发表于 2018-8-14 20:07
是不是Ransom 光用虚拟机确认不准吧，万一有环境监测呢。准确报毒名字的误报一般较少，lz不如先上报卡巴或 ...

ESET报HackTool，虚拟机确认过了，是误报

ELOHIM

好像都很喜欢先让ESET去点火。

Picca

191196846 发表于 2018-8-14 20:10
ESET报HackTool，虚拟机确认过了，是误报

OK 我去上报卡巴

Jerry.Lin

ELOHIM 发表于 2018-8-14 20:15
好像都很喜欢先让ESET去点火。

火种之王ESET

卡巴也被借鉴得非常厉害呀