关于卡巴斯基2020疑似出现高级清除BUG的测试

显示全部楼层 · 发表于 2019-8-12 19:32:05

本帖最后由记录微笑于 2019-8-12 22:15 编辑

有部分坛友反应卡巴斯基最新2020版本有在高级清除完成后不会自动重新启动的BUG，正好趁最近有时间，我做了一个测试。

一，测试环境。

虚拟机Windows7 X64 SP1 打上了必要的补丁

系统版本.png 系统安装的软件.png 已安装更新.png

并且在安装完成卡巴斯基后更新并重启，进行快速扫描，确保没有问题。

最新数据库.png 测试前快扫.png 卡巴斯基版本.png

二，测试。

测试使用的样本是我写的自制勒索20190725，这个样本的特点是卡巴可以通过启发查杀（废话），并且样本必须输入密码后等待30秒才开始发作，不输入密码的话样本没有行为，但是可以触发卡巴斯基的高级清除，所以选用此样本。

测试截图：

提示高级清除.png

顺便说一下，卡巴斯基在高级清除时会自动禁用系统的睡眠和重启功能（由于系统关机要使用shutdown.exe，而卡巴在高级清除时会禁止任何新进程创建，所以实际上关机也不可以。），这并不是病毒造成的损坏。如图：

屏蔽重启和睡眠.png

在高级清除后系统自动重启，没有出现问题。

为了方便各位观察我做成了gif动态图：

（为了加快速度，适当的加了一些倍速。）

但是，如果预先执行shutdown 命令，卡巴会出现bug，无法重启。（详见置顶回复）

三，结论

卡巴斯基2020最新版的高级清除在特定条件下会出现bug

@huang1111

@kaba666

显示全部楼层 · 发表于 2019-8-12 21:43:08

Wesly.Zhang 发表于 2019-8-12 19:53
Hello,

我在这里提供一个小条件，在运行样本前先运行过这段命令后在看下能否重启。

执行后再清除卡巴没有重启
手动点关机按钮的话会注销，并且在登录上去会一直在欢迎那里转圈

显示全部楼层 · 发表于 2019-8-12 19:34:34

这部分代码会继承，我在举报区已经说过了，我认为是样本问题而不是卡巴问题，他非要说是卡巴问题，晕

显示全部楼层 · 发表于 2019-8-12 19:43:05

@Wesly.Zhang

显示全部楼层 · 发表于 2019-8-12 19:53:17

本帖最后由 Wesly.Zhang 于 2019-8-12 20:08 编辑

Hello,

我在这里提供一个小条件，在运行样本前先运行过这段命令后在看下能否重启。

shutdown -r -t 2000

如果可能，请给我一个回复，谢谢你！

显示全部楼层 · 发表于 2019-8-12 21:40:47

我个人认为，你测的这个样本，是你自己做的，卡巴对你做的这样本复现不了，我以前也没遇到这样的情况，但是测试那个鬼影3样本，卡巴就不会重启，要不你样本区的鬼影3做测试，不要更新病毒库，这样本已经可以杀了

显示全部楼层 · 发表于 2019-8-12 21:45:07

kaba666 发表于 2019-8-12 21:40
我个人认为，你测的这个样本，是你自己做的，卡巴对你做的这样本复现不了，我以前也没遇到这样的情况，但是 ...

至少目前来看大部分样本都可以正常重启

我用自己做的软件锁定熊猫烧香病毒然后触发卡巴的高级清除，卡巴也成功重启。

主要是样本是否执行了shutdown指令。

显示全部楼层 · 发表于 2019-8-12 21:49:12

记录微笑发表于 2019-8-12 21:43
执行后再清除卡巴没有重启
手动点关机按钮的话会注销，并且在登录上去会一直在欢迎那里转圈

对的，我测试那个样本，卡巴不重启，我直接点关机，也是关机状态哪里打转，关不了！还是强行重启的

显示全部楼层 · 发表于 2019-8-12 21:49:51

kaba666 发表于 2019-8-12 21:49
对的，我测试那个样本，卡巴不重启，我直接点关机，也是关机状态哪里打转，关不了！还是强行重启的

我没打转，是直接注销了，然后再点用户名登录才会转圈

显示全部楼层 · 发表于 2019-8-12 21:54:54

记录微笑发表于 2019-8-12 21:45
至少目前来看大部分样本都可以正常重启

我用自己做的软件锁定熊猫烧香病毒然后触发卡巴的高级清 ...

那个鬼影3，我在卡巴，手动模式下，hips拦截了个关闭系统权限，我放过了，然后屏幕右下角，系统弹了小的黄色对话框，说系统关闭什么的，没注意看，一闪而过，等了有一会，桌面中心就弹出对话框说系统还有10分钟关闭

显示全部楼层 · 发表于 2019-8-12 21:56:53

kaba666 发表于 2019-8-12 21:54
那个鬼影3，我在卡巴，手动模式下，hips拦截了个关闭系统权限，我放过了，然后屏幕右下角，系统弹了小的 ...

用了shutdown命令
卡巴在这里确实有问题，但是大部分样本都可以拦截，复现率确实非常低。

显示全部楼层 · 发表于 2019-8-12 21:57:53

记录微笑发表于 2019-8-12 21:49
我没打转，是直接注销了，然后再点用户名登录才会转圈

你是点的注销，我点的关机

显示全部楼层 · 发表于 2019-8-12 21:58:48

kaba666 发表于 2019-8-12 21:57
你是点的注销，我点的关机

我没点注销，我点的是关机，但是点完后系统直接注销了，没关机

显示全部楼层 · 发表于 2019-8-12 22:01:01

记录微笑发表于 2019-8-12 21:56
用了shutdown命令
卡巴在这里确实有问题，但是大部分样本都可以拦截，复现率确实非常低。

这个怎么说呢，复现率低的样本，就能被针对，

显示全部楼层 · 发表于 2019-8-12 22:02:30

Wesly.Zhang 发表于 2019-8-12 19:53
Hello,

我在这里提供一个小条件，在运行样本前先运行过这段命令后在看下能否重启。

蚊子教授厉害了。确实重启不了。只能注销后，通过注销界面的关机按钮（如果设置他出现的话）关机。

我本来还这是样本弄得什么内核态拦截AV关机。。

没想到答案这么简单。

其实就是卡巴确实有点BUG。

如果在执行高级清楚前，执行了预定关机，就会出现这个BUG

显示全部楼层 · 发表于 2019-8-12 22:03:12

额。。。。我最近那，记忆力差啊
楼主呀，你能告诉我，你以前叫什么吗？

显示全部楼层 · 发表于 2019-8-12 22:03:18

Wesly.Zhang 发表于 2019-8-12 19:53
Hello,

我在这里提供一个小条件，在运行样本前先运行过这段命令后在看下能否重启。

不能重启关机。

看来我之前猜错错了。卡巴确实有点问题

显示全部楼层 · 发表于 2019-8-12 22:03:46

记录微笑发表于 2019-8-12 21:58
我没点注销，我点的是关机，但是点完后系统直接注销了，没关机

点关机也关不了，我虚拟机直接卡在注销界面，然后就屏幕就黑了，什么反应都没有，只有用虚拟机功能，重启虚拟机

显示全部楼层 · 发表于 2019-8-12 22:05:05

本帖最后由 pal家族于 2019-8-12 22:09 编辑

kfne12 发表于 2019-8-12 22:03
不能重启关机。

看来我之前猜错错了。卡巴确实有点问题

以前复现时就是普通样本的，修改过一下次，报告已经修复了。
现在又出来了。https://forum.kaspersky.com/?app ... t_commentid=2525323
https://hqrndtfs.avp.ru/tfs/Defa ... edit&id=1369300
https://bug.kaspersky.com/issues/3168/

显示全部楼层 · 发表于 2019-8-12 22:06:18

kaba666 发表于 2019-8-12 22:03
点关机也关不了，我虚拟机直接卡在注销界面，然后就屏幕就黑了，什么反应都没有，只有用虚拟机功能，重启 ...

卡巴确实有问题的。看来做什么事不能靠猜，还是要亲自实践下为妙。

我为之前说你的话道歉。

[已解决] 关于卡巴斯基2020疑似出现高级清除BUG的测试

评分