不是用文件名报毒，而是报双扩展名的加壳文件可疑－－关于所谓“红伞用文件名来报毒”

微笑的前奏

今天看到某贴“小红伞疯掉了！用文件名来判断病毒？”
http://bbs.kafan.cn/viewthread.php?tid=233239&extra=page%3D1

其实，是理解上的错误。红伞不是用文件名来报毒，而是报有可疑文件名的加壳.exe
要说明问题很简单，下面的附件里提供一个我现在用的lame，随便你怎么改文件名，都不会报。而这个lame没有加壳。

显然，红伞根本不是简单的用文件名这种方式来报毒。而你的lame.exe不报，改成lame.bak.exe却报可疑文件，为什么呢？

原因其实很简单，因为它加壳而且是可疑的双扩展文件名。为了保险与安全，红伞对于加壳文件，就是这么严格。

首先，补习一些安全常识：病毒木马为了隐藏自已的特征，躲避杀毒软件的扫描监控，最常用的手段就是对自身进行加壳，而且加一层不够，还要加变态的N层，加一种还不算，每层都可能是不同类型的壳。总之一个目的，让杀软解不开，看不出这个执行程序到底是什么，也就查不出病毒。但多数情况下，正常程序都没有必要加壳，或只加简单的压缩壳。而这样一来，病毒越给自己套解不开的猛壳，就越显出来它“此地无银三百两”的逻辑。所以，红伞对加壳程序可能会敏感的报可疑文件。这个特点大家都了解，也是有所争议的。

其次，熟悉WINDOWS的用户都知道，在“文件夹选项”中有一个“隐藏已知文件类型扩展名”的设置，系统默认是勾上的。那么一个比较汗的问题就来了。比如有某个木马文件，名如“陈冠西全套.exe"，将之放到文件夹中浏览看到的会是“陈冠西全套"，而其扩展名.exe会因为上面那个选项而隐藏起来。所以当我们第一眼看到这个文件时，会根据这个exe的图标来判断，除此之外，根本不知道它到底是个什么东西，通常也不会直接打开它。

但是，如果这个木马文件名为“陈冠西全套.zip.exe"的双扩展名文件会怎么样呢？显然，看到的将是“陈冠西全套.zip"。并且，如果这个木马执行文件再使用zip文件的图标，相信其欺骗性足够会让粗心的人以为它只是个ZIP压缩包而已，而当你急于想看XXX内容而不假思索的双击它之后。。。


以上两个病毒特征，改名lame.exe一下就占全了。这里是你自己改的知道不是毒，但如果是从不知道那个地方下载，或别人发给你，或那里来的文件呢？凭上面两点，就有理由报可疑文件。

都说红伞“误报”高，其实我并不认为如此，她的高启发特点是：就算不确认什么毒，只要认为有可疑的病毒特征就提示，在弹出对话框的信息中会告知你“如果需要更详细的分析，可以通过软件界面中的‘隔离管理器’进行文件上报”。这种方式，降低了漏网之鱼的机率，相应也提高了安全性。

当然，对于电脑不太熟悉的用户来说，一提示就是英文，也不知道是怎么回事确实怪吓人的。如果这样的方式不能被接受，你有完全的理由放弃红伞，比较选择一个你认为更安全顺心的杀软来用。


-------------------------------------------------------

原帖由 solid_van 于 2008-4-12 09:36 发表
你的解释太牵强了，如果是高启发问题，我的帖子已经说了把启发开到最低也报警。红伞能侦测到改名后文件主体，那在.exe文件时候更应侦测到，文件的结构并没有改变，只是文件名变了。看来只有等官方解释了。
我说这么多并不是要诋毁红伞，既然有问题出现就要清楚什么回事，伞兵们何必慌张？

很显然，别的不看，只从最后一句话就能知道这位朋友的看法趋向狭义与主观。“慌张”？莫名其妙，从何谈起，有何必要？讨论问题的原由会得出来“慌张”的结论。。。如果这样，也就是说，没人理你，为你解答疑问，就算镇定自若了？呵呵，好古怪的逻辑。“慌张”也好“镇定”也罢，写了这么多还没理解什么意思，爱用用，不用拉倒，浪费我时间。

文件本身是没有变，但好好的一个exe文件，不但加了壳，还要改成双扩展名，还要改成.gif .jpg。 通常情况下，谁会这么做？企图隐藏自己真正内容的病毒。如果不是病毒，为什么改成这样？如果你不是贼，为什么要试图掩饰自己？这不合乎常理。同样，如果你身家清白，在警察面前就不要獐头鼠目，胆颤心惊。否则被警察抓起来盘问不是活该是什么？红伞不是简单的报文件名，而是报试图掩饰文件内容的行为意图，这么简单的道理还是解释半天，累。。。

至于启发等级的设置，谁又知道红伞引擎是怎么编的呢？它又是怎样定义“高”和“低”的评判标准呢？“高”就报，“低”就不应该报？那只是你自己主观的认为而已

[ 本帖最后由 微笑的前奏 于 2008-4-12 19:35 编辑 ]

solcroft

报文件名就报文件名吧，没什么大不了
反正时间一久大家就能习惯和接受了，和报壳一样

zwl2828

说得好！

will

感谢楼主的解释：报壳+双扩展名

xiaomudou

呵呵，回头要试一下了。

HC303

高手呀。

isas

谢谢楼主的详细解释，
学到了一些

wusuobuzai

RC啊...真是学习了....以后换红伞玩玩...

Dirk

高手~
学习哈~

solid_van

LZ为什么不把红伞双扩展名的勾勾去掉再试验一次就作出如此结论了呢？

另外我把它名字改成lame.gif也一样报，现在不是只有一个扩展名吗？

[ 本帖最后由 solid_van 于 2008-4-12 09:01 编辑 ]