打开爱奇艺卡巴报毒

显示全部楼层 · 发表于前天 17:15

本帖最后由西风萧雨于 2025-4-2 13:07 编辑

事件: 对象已删除
用户: DINGDINGPC-MATE\丁丁
用户类型: 发起者
应用程序名称: QyUpdate.exe
应用程序路径: C:\Users\丁丁\AppData\Roaming\IQIYI Video\LStyle
组件: 文件反病毒
结果描述: 已删除
类型: 木马
名称: HEUR:Trojan-PSW.Win32.Stealer.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: IQIYIsetup_update_202503311831.exe
对象路径: C:\Users\丁丁\AppData\Roaming\IQIYI Video\LStyle\QyUpdate
对象的 MD5: 7FB8DD87DAD3A47F98BB9CBBDACE7EE3

文件太大上传微云了：https://share.weiyun.com/PpMi07eX 大神分析下是不是真的有小动作的
电脑上已经正常安装使用的爱奇艺（官网下载版本），打开使用后后台下载升级文件报毒，已经发邮件给卡巴，等待回复
我测试了一下电脑上的版本打开自动升级下载的这个文件被报毒，但是去官网下载最新安装包直接安装全程不报，而且程序安装后正常使用，问题大概率出在这个程序自己下载的文件，等等卡巴的分析结果

收到卡巴邮件回复误报
[color=var(--base_gray_100)]RE: Please confirm whether this file is misreported [KL-2519547]

[color=var(--chrome_cyan)]Ka
[color=var(--account-ellipsis-color)][color=var(--nick-color)]KasperskyLab[color=var(--email-color)]<newvirus@kaspersky.com>

[color=var(--color)]更多操作

[color=var(--base_gray_050)]收件人
[color=var(--account-ellipsis-color)][color=var(--nick-color)]我

[color=var(--base_gray_050)]2025年4月1日 21:39
[color=var(--color)]详细信息

[color=var(--base_gray_100)]Hello,

Sorry, it was a false detection. It will be fixed.
Thank you for your help.

Best regards, Konstantin Krasilnikov, Malware Analyst
39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 [color=var(--accent_blue_darken_1)]http://www.kaspersky.com [color=var(--accent_blue_darken_1)]https://securelist.com
[color=var(--accent_blue_darken_1)]https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names

更新4月2号数据库后报广告软件
组件: 文件反病毒
结果描述: 检测到
类型: 广告软件
名称: not-a-virus:AdWare.Win32.Agent.xxzyig
精确度: 确切
威胁级别: 中
对象类型: 文件
对象名称: IQIYIsetup_update_202503311831.exe
对象路径: C:\Users\丁丁\AppData\Roaming\IQIYI Video\LStyle\QyUpdate
对象的 MD5: 7FB8DD87DAD3A47F98BB9CBBDACE7EE3
原因: 数据库
数据库发布日期: 今天，2025/4/2 06:50:00

显示全部楼层 · 发表于前天 17:37

爱奇艺官网下载的爱奇艺？

显示全部楼层 · 发表于前天 17:39

飞翔的蒲公英发表于 2025-4-1 17:37
爱奇艺官网下载的爱奇艺？

是滴

显示全部楼层 · 发表于前天 17:41

西风萧雨发表于 2025-4-1 17:39
是滴

启发式等级降低看看报不报毒，高启发式容易误报

显示全部楼层 · 发表于前天 17:42

飞翔的蒲公英发表于 2025-4-1 17:41
启发式等级降低看看报不报毒，高启发式容易误报

使用的默认设置，已经邮件上报卡巴等待回复看看

显示全部楼层 · 发表于前天 17:52

本帖最后由飞翔的蒲公英于 2025-4-1 19:53 编辑

·奇安信显示恶意，具体内容是IOC对象有情报显示恶意，行为上有几个敏感的但也不像是什么高危动作。
https://sandbox.ti.qianxin.com/s ... _SZq0HOVfmVPw#page1
·安恒显示低危，是情报显示恶意，至于行为分析，安恒的静态扫描和行为分析判定一直有点抽象，几乎是靠情报判定的……
·卡巴斯基的启发式开低中高都被报毒。
·火绒（开启发式）扫描未检出
总体都是情报显示恶意，连接的网址有的有问题，行为上有些敏感行为（但我不知道一个视频软件为什么会有这些个敏感行为，尤其改防火墙策略），被杀毒软件可能误认为是病毒，尤其启发式开的高，特征相似度过高，可能就当病毒处理了，我倾向于是误报。

显示全部楼层 · 发表于前天 18:00

修改防火墙策略，如果不是沙箱误报的话，那么被报毒活该

显示全部楼层 · 发表于前天 19:51

cortex miss

显示全部楼层 · 发表于前天 19:52

本帖最后由 awsl10000次于 2025-4-1 19:57 编辑

微步恶意，但看起来确实像官方安装包...
https://s.threatbook.com/report/ ... b7648fc3917d7ff74f8
爱奇艺修改防火墙设置是要干嘛
我觉得已经可以期待eset推出iqiyi pua报法了...

显示全部楼层 · 发表于前天 20:09

SEP no kill

[可疑文件] 打开爱奇艺卡巴报毒

本帖子中包含更多资源

本帖子中包含更多资源