爱奇艺 卡巴报毒

jamnn

应用程序名称: QyUpdate.exe
组件: 文件反病毒
结果说明: 已创建备份副本
类型: 木马
名称: Trojan-PSW.Win32.Stealer.cmrh
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: IQIYIsetup_update_202502171951.exe

爱奇艺是官网下的，这是误报吗？

awsl10000次

建议把文件/网址/md5发到样本区看看，会不会打开高仿网址了？不太像是误报，有确切报法，甚至有可能是人工加的特征。

jamnn

awsl10000次 发表于 2025-2-20 20:21
建议把文件/网址/md5发到样本区看看，会不会打开高仿网址了？不太像是误报，有确切报法，甚至有可能是人工 ...

文件被我删了，软件是很久以前下的了，一直没啥问题，只有MD5了
对象的 MD5: 2DDE98792BDCD0E0603B754D9B4580F6

Zeusx

jamnn 发表于 2025-2-20 20:22
文件被我删了，软件是很久以前下的了，一直没啥问题，只有MD5了
对象的 MD5: 2DDE98792BDCD0E0603B754D9 ...

看你的文件名应该是3天前下载的啊，就是爱奇艺的更新文件

awsl10000次

jamnn 发表于 2025-2-20 20:22
文件被我删了，软件是很久以前下的了，一直没啥问题，只有MD5了
对象的 MD5: 2DDE98792BDCD0E0603B754D9 ...

opentip上显示的是卡巴18号入的库...vt2/70（阿里那个100%抄的卡巴）
https://www.virustotal.com/gui/f ... 431f8386c4e6f6734d8
微步安全
https://s.threatbook.com/report/ ... 431f8386c4e6f6734d8
现在看起来确实像误报了


卡巴好像没有eset那种隔离区可以直接右键上报误报的机制吧？
如果这是人工拉黑的，卡巴这个分析质量....

jamnn

Zeusx 发表于 2025-2-20 20:25
看你的文件名应该是3天前下载的啊，就是爱奇艺的更新文件

是更新文件，我的表述可能不准确，爱奇艺这个软件我很久前就下了，软件自动更新也一直没报过毒，就这次发现报毒了

wywt123

awsl10000次 发表于 2025-2-20 20:31
opentip上显示的是卡巴18号入的库...vt2/70（阿里那个100%抄的卡巴）
https://www.virustotal.com/gui/f ...

op没人传过，没得reanalyze按钮
可能有扫描硬盘或敏感目录的行为，被自动机分到Stealer了

之前utools被误报也是这样，直接分到stealer了

awsl10000次

wywt123 发表于 2025-2-20 23:29
op没人传过，没得reanalyze按钮
可能有扫描硬盘或敏感目录的行为，被自动机分到Stealer了

嗯嗯，应该是误报，但没什么办法
reanalyze也难说有用
很多样本卡巴miss opentip miss 然后提交reanalyze也没有任何反应（我就成功过一次）
即使vt大面积报毒卡巴也不会理的，似乎他们就没有第一次自动机分析miss以后的复检机制。近几个月这些对大厂的误报，像vivo，爱奇艺，印象里还有一个去年年末的（如果是自动机误报的话）或许也说明卡巴也没有自动机误报的复查机制（这个好像eset有）
对杀软厂商着实有点去魅了（各家其实都不太行，各有各的问题）什么时候Windows安全机制能做到安卓那样，杀软的生存空间恐怕就基本上没了

啊松

卡巴的误报控制越来越不行了，连炉石传说都误报，op上报漏报也爱答不理

wywt123

awsl10000次 发表于 2025-2-21 00:36
嗯嗯，应该是误报，但没什么办法
reanalyze也难说有用
很多样本卡巴miss opentip miss 然后提交r ...

卡巴op上报漏报一直都是没啥反应，我一般都是走支持开工单。
op reanalyze基本上只回false positive，不过效率还挺快的。

确实，各家都有各家的缺点。凑合用用得了~

Update:

看起来是加白了，可能有人上报过了

反而是腾讯入库了，Win32.Trojan-QQPass.QQRob.Zolw