@驭龙 龙大,这个文件应该也可以触发卡巴的那个bug
今天我有空,刚才已经反馈了。
New incident registered:INC000017053579 反馈BUG
发件人:Kaspersky Lab Support <customerservicesolution@kaspersky.com>
时 间:2024年11月23日(星期六)下午10 : 51 纯文本 |
收件人:
颖之 <?????@qq.com>
邮件可翻译为中文立即翻译
Hello,
Thank you for contacting Kaspersky.
Your request regarding "反馈BUG", a summary of which appears below:
你好!我在这里反馈一下很长时间存在的bug,“卡巴斯基软件的监控和扫描对于某些不特定的已经被KSN拉黑的文件,无法正确报毒”
BUG description: kaspersky product's file monitor and scan module (OAS and ODS) can not trigger detection for some files which already been blacklisted by KSN. But System Watcher is able to trigger detection correctly once the file is executed.
我很久之前在一些老版本的卡巴斯基产品就遇到过该问题,不过当时没人发现,我就没有反馈。最近不少卡饭论坛的朋友在测试病毒时,均发现了该问题。这些扫描和监控均不报毒的文件,都是KSN已经拉黑的文件,如果在virustotal上扫描,卡巴引擎是报毒的。但是用户的计算机上却不报毒,又见查询KSN信誉确显示已经被拉黑。遇到这种情况,只有双击运行文件或脚本,才能触发系统监控组件的报毒。我尝试过清空KSN cache以及给文件改名等方法,均无效果,必须双击运行病毒才能触发。
我在这里提供:traces文件(包含卡巴自带的录屏),GSI6报告,当时测试时的文件。
文件较大我不知道你们可否在邮箱下载,我另外临时额外传一份到https://box.kaspersky.com/u/d/7935c086a8b845419425/里,这里我反馈另一bug(INC000016937222)时你们给我的地址。
复现流程:
1. 启动卡巴斯基
2. 浏览病毒文件,右键文件,查看文件属性,查看ksn信誉,信誉状态为拉黑状态,此时OAS无检测
3. 扫描该文件,ODS无检测
4. 使用选择性扫描select scan,并且关闭iswift和ichecker,确保不收扫描缓存影响,仍然无检测。
5. 双击运行病毒,系统监控报毒并删除病毒。HIPS仅将文件移动到不信任组,未处理文件。其实理论上按照设计,HIPS应该优先于System Watcher独立触发检测,不应该轮到系统监控组件来处理病毒。这里也是有问题的。
需要注意的是,随着该文件后续被加入特征码检测,该问题就不能被复现了。除非KL再次找到一个类似的文件立即测试,否则无法针对我上传的文件进行复现。
以上,我认为该问题会对用户的安全造成影响,而且该现象不符合卡巴斯基产品正确的设计意图,我希望开发人员调查该问题并尽快修复。
谢谢!regards.
从QQ邮箱发来的超大附件
GSI6_小之之的微星_72428_11_23_2024_21_44_55.zip (3.51M, 无限期)进入下载页面:http://mail.qq.com/cgi-bin/ftnEx ... b&code=abc501e6
password_infected.rar (540B, 无限期)进入下载页面:http://mail.qq.com/cgi-bin/ftnEx ... f&code=6e8bfb3b
SupportTraces-卡巴斯基标准版-21.19.7.527-2024-11-23-21-40-34.zip (65.11M, 2024年12月23日 22:27 到期)进入下载页面:http://mail.qq.com/cgi-bin/ftnEx ... d&code=00e8e733
has been submitted to our Technical Support.
ID of your request:INC000017053579
Please include your request ID when contacting Technical Support.
You can always use My Kaspersky account link above to track the status of your request.
This message was generated automatically and does not require a reply.
Best regards,
Technical Support team
Kaspersky
We have obtained your personal data from you directly. The provided data will only be used for the provision of technical support and will be processed and protected in accordance with Kaspersky Data Privacy Statement for technical support for Africa, Australia, Canada, Denmark, Middle East, New Zealand, EU, and other countries, United Kingdom, United States of America
Should you have any questions about Kaspersky privacy practices or if you would like us to update information or preferences you provided to us, please contact our Data Protection Officer.
AO Kaspersky Lab, bldg. 3, 39A, Leningradskoe Shosse, Moscow, 125212, Russian Federation. The representative of AO Kaspersky Lab in EU is Kaspersky Labs GmbH, Despag-Str. 3, 85055 Ingolstadt, Germany.
|
发表于 
