感觉感染好久了，卡巴才检测报出来的

显示全部楼层 · 发表于 2024-8-15 09:21:12

cs miss

显示全部楼层 · 发表于 2024-8-15 10:03:12

没等到卡巴的回复，等到了铁壳的回复，样本无恶意。

The file is not malicious.

显示全部楼层 · 发表于 2024-8-15 10:17:29

本帖最后由 wwwab 于 2024-8-15 10:37 编辑

Jirehlov1234 发表于 2024-8-14 20:32
如果卡巴还怕误加白的上报“攻击”，那分析团队可以就地解散了

我有一次拿黑样本上报，卡巴还真解除了，然后我又发邮件过去，又给拉黑了

永远不要相信厂商的奇葩 Malware Analyst 单次分析的结论，每家厂商里面都有奇葩 Malware Analyst 和睁眼说瞎话的 Malware Analyst，各路神仙层出不穷

具体包括但不限于：
1. 拿同一个检出的样本上报，一个 Malware Analyst 回复说 "detection is correct"，一个 Malware Analyst 回复说 "Sorry, it was a false detection"，我不说是哪家厂商
2. 拿着一个黑样本说："No malicious activity could be found for the submitted files." "No malicious software was found in the attached file." "This file presents no threat to your system." "暂未发现恶意行为，不做病毒处理。"，或者打上一个 "Not Malware" 标签，甚至还有直接给你拉白的
3. 打了个 EV 数字签名，拿着一个 ShellCode Loader 去加白，过了一会儿云端真白了
4. 碰到 WHQL 签名直接拉白

我不说是哪几家厂商，是哪几家厂商厂商自己心里面最清楚

显示全部楼层 · 发表于 2024-8-15 10:55:18

Jirehlov1234 发表于 2024-8-14 20:32
如果卡巴还怕误加白的上报“攻击”，那分析团队可以就地解散了

我上次上报一个可疑文件卡巴说恶意，然后再看就拉白了，我也不知道那东西是不是恶意的。

显示全部楼层 · 发表于 2024-8-15 11:02:07

dght432 发表于 2024-8-15 10:55
我上次上报一个可疑文件卡巴说恶意，然后再看就拉白了，我也不知道那东西是不是恶意的。

我也遇到过一个文件我报给卡巴，人家直接发邮件回复我说：没检测到恶意行为，你为啥觉得这文件是恶意文件？然而我再次打开这个上报文件的opentip页面，发现已经被拉黑了

显示全部楼层 · 发表于 2024-8-15 11:09:14

这个文件一般没问题就是修改版的winrar
大概是误报辣

显示全部楼层 · 发表于 2024-8-15 11:34:37

卡巴我这边回复不是误报

This is not a false alarm. Detection is correct.

显示全部楼层 · 发表于 2024-8-15 13:10:14

Jirehlov1234 发表于 2024-8-15 11:34
卡巴我这边回复不是误报

BD也看不出这个样本有啥问题：

Our malware research team reached back to us and confirmed that the file is clean and currently not detected by our engines.

可以请卡巴的分析师简单说下判断为木马的原因吗（卡巴还没回复我……
我可以让BD再看一下

显示全部楼层 · 发表于 2024-8-16 10:48:05

瑞星 0x

显示全部楼层 · 发表于 2024-8-16 13:41:42

language=auto
社区有你更精彩

language=auto
社区有你更精彩

复制代码

[病毒样本] 感觉感染好久了，卡巴才检测报出来的

本帖子中包含更多资源