不是用文件名报毒，而是报双扩展名的加壳文件可疑－－关于所谓“红伞用文件名来报毒”

wayaya

晕死，开启发不选择双扩展名检测，报这个

wayaya

晕死，关闭启发，选择双扩展名检测，报这个

[ 本帖最后由 wayaya 于 2008-4-12 16:44 编辑 ]

wayaya

而二者都开启，报HEUR/Crypted.E

这个样本很有趣两个方面都触发 了


但是不是所有的双扩展名都报，需要最后的扩展名为执行程序才行，例如vbs、exe、bat才会报

swans

对于该问题，红伞官方论坛已经有人已经给出解释了，正如楼主所说的，原帖如下
http://forum.avira.com/thread.php?threadid=36285 二楼的帖子给了答案，但是普通会员，而四楼版主给出的解释是这种检测不属于启发检测的范围而是通过其他方法检测删除的

[ 本帖最后由 swans 于 2008-4-12 17:27 编辑 ]

spatra

看都看晕了。

如果改成gif、jpg、doc结尾，报这个。

怎么好像就是原来的exe不报。

[ 本帖最后由 spatra 于 2008-4-12 17:53 编辑 ]

fish

好贴啊?请问怎么判断报客还是报毒?

zwl2828

原帖由 fish 于 2008-4-12 18:54 发表
好贴啊?请问怎么判断报客还是报毒?

报壳有写的，不会写病毒的

daring

实在看不下去了，潜水者冒个泡
1.原始文件不报说明原始文件没毒或红伞查不出，这同时也说明了红伞并不是单纯报壳，这个应该没人能反对吧？
2.改扩展名，报的是有意义的双扩展名或单扩展名，微笑说得很清楚了，一个加壳的可执行文件，偏要冒充一个常见的其它文件类型，这不是典型的病毒行为吗？不报的话才是有问题的杀软！再说红伞也没说是病毒，只是提醒你注意这个文件存在病毒才会使用的某种模式。
总结如下：红伞报的是试图隐藏自己真实类型的加了壳的可执行文件
继续潜水……

时间简史

呵呵，楼主分析的很到位
学习了~~~

ykz1991

HEUR/crypted.E是属于高启发
hiddenextension.worm.gen是基因，关闭启发后使用基因侦测
而扩展项的开关与侦测无关，就像steve说的

The double extension category in extended threats doesn't apply to heuristic detections, which are detected seperately by different methods.