查看: 14385|回复: 133
收起左侧

[讨论] 跟大家探讨:该如何处理“网友投递病毒样本包”

  [复制链接]
火绒工程师
发表于 2019-5-8 17:40:56 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2019-5-8 18:23 编辑

一直以来,火绒时常会收到热心网友“投递”的病毒样本包,也经常被各种“论坛测试”,不管成绩好坏,被肯定还是被质疑,我们都发自内心地感谢大家,对火绒的关注和重视,就是对我们最大的支持。

我们当然重视这些样本包的处理,但是在样本处理优先级、处理和判定策略上,我们有自己的原则和坚持。因为我们发现,有些事情偏离了杀毒本质,不是以帮用户解决问题为目标,而是在忽悠和迎合大家。

我们以近期收到的两个样本包为例,跟大家探讨。这两个样本包来自4月26日和5月1日的卡饭论坛(https://bbs.kafan.cn/thread-2148105-1-1.htmlhttps://bbs.kafan.cn/thread-2148497-1-1.html)。

一、病毒样本包检测、分析结果
经过检测分析,该批样本情况如下:

1、白样本占据近一半
这两个样本包中,有54%是病毒样本,46%是各类白样本,其中无恶意代码的激活工具和易语言程序共占样本总数的35%,另外11%则是正常软件安装包或组件等。





2、加保护壳被误报严重
两个样本包中还有一部分被强壳保护的PE文件,约占白文件的30%,占样本总量的14%,如下图所示:


3、病毒样本感染量极小
占总量54%的病毒样本,虽然具有恶意行为或病毒代码,但是通过“火绒威胁情报系统”一段时间的追踪,我们发现绝大多数病毒在火绒覆盖的终端上未出现过感染情况,且不存在家族性关联。此类病毒样本虽然存在病毒行为或恶意代码,但是由于地域性等因素导致这些病毒与国内真实环境中、正在感染用户的病毒样本相差甚远——用户基本遇不到。

二、各厂家检测结果分析
事实上,国内外安全厂商的扫描结果呈现两极分化现象:部分厂商对样本的检测结果“理智”,仅对包含恶意代码的样本报毒;另一部分厂商对样本的检测结果很“疯狂”,完全不考虑误杀,这种情况下,“论坛测试”的查杀率上去了,在用户那的“误杀率”也上去了。
容易被“误杀”的几类白文件:

1、易语言
易语言是国内流行的工具类程序中的一种。由于语言不通,国外安全厂商对易语言恶意代码识别困难,经常对易语言报毒,某些国内厂商“复制”国外厂商报毒结果,同样对易语言报毒,这算是“误报扩散传播”。
我们以近期样本包中的一个易语言游戏辅助类动态库(SHA256:2ea1fb98a4ab5fac26ba7a381ba2157d60f659501e6d7bd04dffdafdf599ff30)为例,大部分报毒的国外安全厂商报毒名不具有任何含义,也就是人们常说的“拉黑”特征,但也有国内安全厂商对报毒结果进行了“复制”,甚至病毒名都直接复制(如:FlyStudio)。VirusTotal报毒结果,如下图所示:



2、激活工具
国外安全厂商对于激活工具类程序,通常以报HackTool(黑客工具)或RiskWare(风险软件)处理。某些国内安全厂商同样跟随、“复制”国外厂商的报毒结果,很多不存在恶意代码的此类程序也被国内安全厂商“拉黑”处理。
以本次样本包中的一个激活工具(SHA256:9c9e289a31910d6e718f60ca1516b0dbd0035249d58edde9195255d5fea26dd3)为例,VirusTotal报毒结果,如下图所示:


这个没有恶意行为的激活工具,VirusTotal中共有47家厂商报毒,其中不乏国内安全厂商。

3、强壳白文件
对于加了强壳的文件,国外安全厂商常常以壳授权信息作为判断是否为病毒的依据,事实上这其实是为了避开正面处理“脱壳”问题而做出的无奈选择。在国外正版化水平较高的环境下,这种做法虽然不够“专业”,但也似乎能被用户接受。

而国内充斥着大量破解后的加壳工具。很多正常程序在加了某一版本的强壳后(盗版壳没有正版授权信息),国内安全厂商直接“复制”国外厂商根据授权信息的查杀规则,这根本行不通;国内绝大部分厂商在缺乏脱壳能力时,直接将带壳文件视为病毒。

以本次样本包中一个被VMProtect保护的工具类软件样本(SHA256:94c526892a3d8e762c01ba0a90c9ebd453691c02d04572772487b86042b2cce8)为例,VirusTotal报毒结果,如下图所示:



三、火绒的病毒样本处理策略
一直以来,火绒的理念是“情报驱动安全”——凭借真实、全面、及时的威胁情报来改进技术和产品。通俗地说就是,搞清楚用户真正会遇到哪些威胁,然后对症下药。

我们通过“火绒威胁情报系统”捕获正在感染和攻击用户的威胁代码,追踪这些威胁的来源,力图迅速有效地解决这些真实的问题……简而言之就是,火绒更重视对“活着的”、“正在传播”的病毒的防御和查杀,而不是盲目对所有病毒样本批量“拉黑”。

面对各种来源的海量样本,到底该如何有效地分析处理,这是所有安全厂商都逃不开的话题。任何厂商的时间、精力都是有限的,分析、处理能力也都是有限的。火绒一直在不断尝试和探索,寻找最好的解决方案。

我们的理念和策略可能有人不同意,处理结果可能被误解,但我们不打算改变。同时我们也坚信,上述的直接拉黑和“复制”绝不是出路,而是死路。

为了提高病毒查杀结果的有效性,火绒团队希望将时间和精力用在真实的,解决威胁范围更广、危害更强的病毒问题上,明确地说,我们会优先处理来自“火绒威胁情报系统”中捕捉到的各种威胁程序。

面对其他来源的病毒样本,我们会在对样本聚合处理的基础上优化病毒样本分析、处理的流程,力争提供更为有效的安全服务。当然,在必要的时候,我们也会引入“云”来提高对威胁的响应速度,以及“机器学习”等技术来优化内部自动化分析流程等。

四、火绒关于“投递样本包”、“论坛评测”的处理策略
火绒一直遵循自己的报毒标准,即仅以是否存在恶意行为或恶意代码为唯一报毒依据。我们认为在病毒查杀上,应该“理智”的报毒,从专业的角度给出正确的查杀结果,而不是一味迎合,“营造”高查杀率的欢乐氛围。

因此,对于广大网友投递的样本包,包括论坛评测等,我们力求做到如下几点:

1、只查杀真病毒
以本次样本包为例,其中存在大量的白样本,我们不会加库查杀,这样只会提高“查杀率”,而给用户带来误杀、降低产品的品质。

2、先分析、后处理
我们不会直接拉黑处理,必须经过认真的分析和认定,才能决定对哪些样本入库。

3、尊重国内环境的特殊性
对白文件、易语言程序等直接粗暴地报毒,就是对用户的伤害,火绒不认可,也不会这么做。

4、 误杀率和查杀率一样重要
误杀率对于安全软件来说,是致命的问题。在“论坛测试”中,这只是一个数字,但是在用户那里,就可能意味着电脑运行不正常甚至蓝屏、工作业务被耽搁、游戏被停止……



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8人气 +18 收起 理由
仙圣 + 3 版区有你更精彩: )
BBCALL + 3 感谢解答: )
renshijian + 2 淡定
【乱】 + 1 论坛样本很多没毛病本身很多人就说过
B100D1E55 + 3 支持

查看全部评分

Jerry.Lin
发表于 2019-5-8 20:24:51 | 显示全部楼层
那这个呢
https://bbs.kafan.cn/thread-2148892-1-1.html

解释下@火绒工程师 ,是不是质量也很低?

Huorong Internet Security
火绒安全

Linux   690/3031        22.76%
Win     2239/3657       61.23%

Total   2929/6688        43.79%

上面的贴的样本在之前已分批提交
http://bbs.huorong.cn/thread-56062-1-1.html
http://bbs.huorong.cn/thread-56796-1-1.html
http://bbs.huorong.cn/thread-57180-1-1.html
http://bbs.huorong.cn/thread-57180-1-1.html
http://bbs.huorong.cn/thread-58121-1-1.html




===============================
重点查杀活跃病毒,是没错;但你们对新威胁反应慢,处理慢是不争的事实,没钱没人不是借口,只能说明你们的商业模式仍有很大的欠缺。

还有,一味的否定我们这种论坛做的业余测试,自己却赖着没钱不去参加正规测试,又想夸自家引擎检测率效率如何之高,这种王婆卖瓜自卖自夸的想法是根本行不通的,怎么让消费者信服?

就凭着自己非主流和干净不作恶的特点博取用户对前几年安全行业野蛮式发展带来的后果的厌恶感来做营销?
这也是行不通的,长久下去反而会起负面效果。
你们现在缺少的就是对自身安全能力的证明,也因此很难得到一些用户的信任。

julia跺跺
发表于 2019-5-8 17:59:34 | 显示全部楼层
所以这文章的意思是,我们没错,错的是这个世界?

评分

参与人数 2人气 +2 收起 理由
飞碟1234 + 1 瞎说实话
大明湖畔的乾隆 + 1 感谢解答: )

查看全部评分

小野泽悠贵
头像被屏蔽
发表于 2019-5-8 18:09:58 | 显示全部楼层
julia跺跺 发表于 2019-5-8 17:59
所以这文章的意思是,我们没错,错的是这个世界?

实际是,这两个样本包并非全部都有病毒
jone_jys
头像被屏蔽
发表于 2019-5-8 18:13:21 | 显示全部楼层
火绒现在主要靠B端企业盈利,现在已经在开始盈利了。

无论有些童鞋是正话反说,还是反话正说。火绒一如既往的坚持自己的路线,未来大有可为。。
wowocock
发表于 2019-5-8 18:35:59 | 显示全部楼层
重点对“活着的”、“正在传播”的病毒的防御和查杀,而不是盲目对所有病毒样本批量“拉黑”。这也是各个安全软件的重点吧。没毛病。
天耀群星
头像被屏蔽
发表于 2019-5-8 18:46:25 | 显示全部楼层
支持火绒
kim545
发表于 2019-5-8 18:49:41 | 显示全部楼层
支持下火绒
你开心就好
发表于 2019-5-8 18:53:13 | 显示全部楼层
wowocock 发表于 2019-5-8 18:35
重点对“活着的”、“正在传播”的病毒的防御和查杀,而不是盲目对所有病毒样本批量“拉黑”。这也是各个安 ...

那敢问360安全卫士qvm的重点是?(不是抬杠)
是这样的 我身边朋友用易语言的比较多
每次一升级更新软件 qvm就报(正常程序)
然后申诉吧 论坛人员给的页面要填写身份证 电话号码
搞的跟查户口一样
大佬可以说易语言不入流 但是不是每个人都是专业程序员

名字无所谓
发表于 2019-5-8 18:56:39 来自手机 | 显示全部楼层
意思是危害小等于无罪?
天月来了
发表于 2019-5-8 19:03:29 来自手机 | 显示全部楼层
实际上,人类世界的情况决定了未来必然全局都得选择像苹果公司那样,系统是封闭的,一切外部来源的程序都必须经过官方应用市场审核通过。不会再敞开式的运作了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 07:42 , Processed in 0.122198 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表