卡巴文件 icudt58.dll 火绒报毒

显示全部楼层 · 发表于 2022-12-12 20:23:50

文件是从隔离区提取出来的吗

显示全部楼层 · 发表于 2022-12-12 20:57:30

有卡巴数字签名，肯定是误报

显示全部楼层 · 发表于 2022-12-12 21:06:04

ESET & FS 未报

显示全部楼层 · 发表于 2022-12-12 21:32:22

显示全部楼层 · 发表于 2022-12-13 09:45:36

目测，系统没打补丁，不认签名方式。

显示全部楼层 · 发表于 2022-12-13 10:30:27

wwwab 发表于 2022-12-12 20:23
文件是从隔离区提取出来的吗

是的

显示全部楼层 · 发表于 2022-12-13 10:31:52

huangsijun17 发表于 2022-12-13 09:45
目测，系统没打补丁，不认签名方式。

已更新系统，用昨天的病毒库仍旧报毒

显示全部楼层 · 发表于 2022-12-13 10:33:36

火绒工程师发表于 2022-12-12 18:09
您好，方便留下联系方式吗?我们需要确认更多信息~

已私信

显示全部楼层 · 发表于 2022-12-13 15:00:19

本帖最后由 tdsskiller 于 2022-12-13 15:06 编辑

蓝泽祈发表于 2022-12-12 20:57
有卡巴数字签名，肯定是误报

看到这种签名一般只有运气很不好是真的apt，中招的话只能认命。大概率还是命中什么特征触发的误报。
现在apt被抓到的是有腾讯，金山的可能的泄漏签名，老外的话不清楚情况
实际上现在已经没有一定误报的概念了，在文件末尾追加恶意代码从而不影响签名的操作也是存在的，第二种就是真的apt搞了你一把，实实在在的签名被偷了

像某个更混乱的时期，我掏出个tx或者北信源的驱动你敢不敢说那是误报？到现在那个2017年的偷北信源签名黑驱动来做vbr和mbrbootkit都没有几个能拉黑，更何况是现在？

显示全部楼层 · 发表于 2022-12-13 15:54:45

tdsskiller 发表于 2022-12-13 15:00
看到这种签名一般只有运气很不好是真的apt，中招的话只能认命。大概率还是命中什么特征触发的误报。
现 ...

就火绒发报告的那个“Kuzzle”样本么？

[可疑文件] 卡巴文件 icudt58.dll 火绒报毒

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源