搜索
查看: 3086|回复: 41
收起左侧

[交流探讨] 卡巴概率性漏毒?

[复制链接]
温馨小屋
发表于 2019-8-4 18:56:38 | 显示全部楼层 |阅读模式
我之前在样本区测卡巴的时候经常出现概率性不拦的情况,还有概率性不回滚的问题,举一些例子


https://bbs.kafan.cn/thread-2156278-2-1.html

我知道卡巴在刚开机的时候没有保护,就算界面加载出来了设置可以改但是双击样本依然会miss,我长记性了等了三四分钟,双击结果MBR被改,重启后直接跳到光盘引导了,恢复了虚拟机快照,再双击,这下卡巴拦截了。后来拿这个样本测试了一下C补丁有没有修复开机无保护的问题,加载完界面进设置显示全部保护已开启,托盘也没问题,双击病毒直接miss,我还截了图,现在找不到了,不过复现不麻烦,不慌,这要是病毒发作时只加个启动项就退出,重启再做大动作,卡巴是不是就直接了凉了。。。


https://bbs.kafan.cn/thread-2155627-1-1.html


这个是不回滚,我重测了一遍也是不回滚,我不知道是这个毒根本不会触发回滚还是概率性回滚,当天另外两个安装器全部都报毒并回滚了,一个渣都不剩,之前还见过PDM杀勒索不回滚的,桌面全被加密了,这样本应该在一两周之前了,不太好找了,拦截点靠后要是再不回滚那就真要了命了


之前碰到这些乱七八糟的情况我全都归结于虚拟机被病毒破坏了,直接还原快照解决,也没当回事。相比之下BD的虚拟机更是一片狼藉,还有俩RootKit挂在内核没杀呢,从来没有印象BD有过有时杀有时不杀的情况(除了云抽风)。今天实机测试样本区那个比特彗星的样本,前面已经有KFA报广告软件了,我下载下来扫第一遍miss了,我又下载了第二个比特彗星安装包,勾选了两个一起扫描,结果两个都杀了,看日志,第一个是启发杀,第二个是UDS杀,网络不好UDS没连上我可以理解,这下miss的却是启发杀的那个,之后就再也无法复现了,第一次扫描还会扫描几秒再杀,后边再扫描,就立刻就杀了,我怀疑之后杀得那几次都有缓存参与,那个漏PDM的样本也是,只能漏第一次,一旦杀了一次之后就再也无法复现了。这问题属于可遇不可求那类的,抓日志也不好抓


捕获.PNG
图1:第三条日志和第一条日志扫描的同一个文件,第一次没杀,第二次杀了,中间那条日志是我勾选了两个文件一起扫的,详细报告是miss了的那次,两次扫描时间差不到一分钟

捕获0.PNG
图2:隔离区的两个样本,可见miss的那个是HEUR杀

捕获2.PNG
图3:第二次扫描的日志,这次就杀了


PS:现在卡巴的特征强度实在是弱的要命,本地入库特征加壳大部分都能过,杀壳全靠入库,根本不带脱的,连BD还有Deepscan呢,卡巴脱壳我是真没见过,UDS只检查MD5,拿工具改下MD5就过了,我也测过BD的云特征,加壳挡不住,起码改MD5不会过

评分

参与人数 2人气 +4 收起 理由
dongwenqi + 3 版区有你更精彩: )
KK院长 + 1 你不可以说实话,亲!

查看全部评分

泪水涟漪
发表于 2019-8-4 19:00:02 | 显示全部楼层
。。。不脱壳只检查md5没毛用啊,这种白加黑随便都搞不掉了
泪水涟漪
发表于 2019-8-4 19:04:12 | 显示全部楼层
我大前天已经换回eset nod32了。。。
温馨小屋
 楼主| 发表于 2019-8-4 19:17:09 | 显示全部楼层
泪水涟漪 发表于 2019-8-4 19:00
。。。不脱壳只检查md5没毛用啊,这种白加黑随便都搞不掉了

谁告诉你只查MD5搞不掉白加黑的?
温馨小屋
 楼主| 发表于 2019-8-4 19:17:41 | 显示全部楼层
泪水涟漪 发表于 2019-8-4 19:04
我大前天已经换回eset nod32了。。。

ESET没有主防,更加要命了,万一库里没有大半是要完蛋的
314122674
发表于 2019-8-4 19:32:15 | 显示全部楼层
建议下次再碰到这种情况,开个帖子让更多的网络环境和系统环境来共同测试一下。
当然我并不是说你的网络环境和系统环境存在问题,也并不是不承认卡巴的问题所在。
我只希望能通过更多的环境来确定更多的信息并希望卡巴最终能解决问题。
iha40999
发表于 2019-8-4 21:32:07 | 显示全部楼层
楼主顺便折腾一下诺顿如何
huang1111
发表于 2019-8-4 22:10:25 | 显示全部楼层
关于pdm不触发问题,本问题可能重现,抓日志都比较麻烦,最好下次录制一下视频,我能传一下,因为我这边没办法复现你的问题,我猜想有可能是因为你的配置并不是默认所致,请恢复默认再测试一下。
关于勒索不回滚问题,实际上你把回滚这个概念有点混,回滚是指回滚恶意特征软件对系统的操作,而不是文件,文件的恢复是通过卡巴的备份文件替换所致,这在勒索软件防护板块白皮书里面有,不回滚很有可能卡巴没有备份文件所致,这对于实机影响的意义不是很大
温馨小屋
 楼主| 发表于 2019-8-4 23:15:48 | 显示全部楼层
314122674 发表于 2019-8-4 19:32
建议下次再碰到这种情况,开个帖子让更多的网络环境和系统环境来共同测试一下。
当然我并不是说你的网络环 ...

问题是这个bug是概率性的,我实机出现了这个问题,我放自己的虚拟机里就没问题了,上次卡右键也是,刚开始的时候每个人卡的文件都不一样,我卡的别人不卡,别人卡的我不卡,复现极其困难,除非一直开着日志等问题出现,但是这样实在影响工作
温馨小屋
 楼主| 发表于 2019-8-4 23:33:30 | 显示全部楼层
huang1111 发表于 2019-8-4 22:10
关于pdm不触发问题,本问题可能重现,抓日志都比较麻烦,最好下次录制一下视频,我能传一下,因为我这边没 ...

我虚拟机里的配置除了反锁屏键修改了其他全是默认,虚拟机经常还原,也没空每次设置,实机的卡巴自从上次发现深度启发的检测率反而比默认设置低,我就全默认了,所以不存在默认设置问题。

回滚概念我清楚得很,不知道你为什么要这么理解,卡巴的日志里有回滚的话都会显示出来,而且实际也能看到效果,我测那个广告软件的时候,满桌面都是衍生物,一个都没动,日志里也没有显示有回滚,连BD都知道删除一些衍生物,当天还有另外两个广告软件,你也可以去看看,日期一样,所有桌面的垃圾和软件安装程序全部清掉了,日志里也显示有回滚内容。测勒索那次印象深刻,桌面全被加密了,卡巴也是只杀了主程序,没有回滚,连病毒启动项都没删,你居然会说影响不大,没有回滚就等于勒索软件漏掉一大部分,现在问题就是卡巴为什么没有备份文件,卡巴的说明里明确说明回滚可以用来对付勒索。还有恶意软件对系统的操作为什么不包含释放的衍生物文件?这是什么逻辑?第一个广告那个都没有被破坏的文件,根本不涉及备份恢复问题,只是需要把病毒生成的东西删掉而已,然鹅也没有触发


现在我发现的这几次全部都是只能触发一次,要是录视频的话我就得每次测试全程录制,这显然是不可行的。但是现在可以利用刚开机的时候没有保护这个bug来构造一个视频,让他们去自己检查问题
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-17 07:26 , Processed in 0.094196 second(s), 21 queries .

快速回复 返回顶部 返回列表