卡巴！见怪事

江湖的fans

今天在卡饭样本区找到了个卡巴MISS的样本http://bbs.kafan.cn/thread-410600-1-1.html，当然毫不手下留情的TO KL

大约过来2个小时，11：30左右的时候，卡巴回信：

尊敬的用户，您好！

      
e00233it.com
以上文件中包含恶意代码，正在处理中，请您注意及时更新病毒库查杀。

非常感谢您向我们提供可疑文件样本，有了您的支持我们将做得更好。
　　

感谢您对卡巴斯基的信任与支持！
我们诚恳地希望您来电或来信寻求关于产品的技术支持服务，如果您有关于卡巴斯基公司的合理化建议也希望您与我们联系。
24小时技术支持热线400-611-6633
中文主页：http://www.kaspersky.com.cn/
技术支持邮箱：support@kaspersky.com.cn
病毒上报邮箱：virus@kaspersky.com.cn

卡巴斯基中国技术服务中心            399号工程师为您服务
=======  2009-01-21  11:35:54 您在来信中写道：=======
>
>
>2009-01-21
>
>
>
>江南雨季   

       看我加亮的那段话，正在处理中！也就是还没有弄完，我升级病毒库后再次对样本进行查杀，果然不出我所料，没有查出！（在处理中嘛！）

       在14：15左右，我再次升级了病毒库，再对样本进行扫描，卡巴居然报的是HEUR.启发， 这是怎么一回事呢？为什么卡巴没把样本入库，而是启发掉来呢？ 迷惑不解~~~

real_000000

可能还没处理好吧。。
直接报到俄罗斯总部会快一点。。。
newvirus@kaspersky.com 请用infected作加密的密码

[ 本帖最后由 real_000000 于 2009-1-21 14:44 编辑 ]

303898443

刚才升级病毒库后，就能杀了，报病毒。

jijiasd

楼主可能比较少接触CN的工程师，是这样的：

CN的2位工程师遇到包含病毒的样本有2种回复
1."以上文件中包含恶意代码，下次更新可以查杀，请您注意更新病毒库查杀。"这种回复代表卡巴的总服务器是可以探查到病毒的（有点类似云安全，我也讲不明白，内部分析用的），可以马上入库

2.就如楼主一样"以上文件中包含恶意代码，正在处理中，请您注意及时更新病毒库查杀"遇到这种回复，代表需要向俄罗斯总部复查入库，这种较慢

至于启发，跟这个问题不相干，启发应该可以不依赖病毒库的(是不是啊？）

[ 本帖最后由 jijiasd 于 2009-1-21 15:16 编辑 ]

jijiasd

原帖由 real_000000 于 2009-1-21 14:42 发表
可能还没处理好吧。。
直接报到俄罗斯总部会快一点。。。
newvirus@kaspersky.com 请用infected作加密的密码

提到最近的俄罗斯总部就气人，近一周发给他们的样本只有三分之一回复(入库)了，并且俄罗斯总部开始小部分用机器人回复...，无奈发给中国的工程师，回复效率很高，就上报入库晚点，不过都能入

江湖的fans

原帖由 jijiasd 于 2009-1-21 15:04 发表
楼主可能比较少接触CN的工程师，是这样的：

CN的2位工程师遇到包含病毒的样本有2种回复
1."以上文件中包含恶意代码，下次更新可以查杀，请您注意更新病毒库查杀。"这种回复代表卡巴的总服务器是可以探查到病毒的 ...

可是没上报的时候没有报启发，而上报后就报了启发来！我的意思是上报后不是应该报病毒名吗？怎么会报启发呢（如果是在没上报前报启发还合乎情理）？

jijiasd

还没复查入库

江湖的fans

还没复查入库就报启发吗？

貌似不太负责哦 (*^__^*) 嘻嘻……

ghj89100062

呃~我解释一下
每次更新都是一批处理的
CN回复
以上文件中包含恶意代码，正在处理中，请您注意及时更新病毒库查杀
一般会在下下次更新就可以查杀
如果是遇到误报之类的
例如，上次误报了瑞星卡卡，上报后回复就是下次更新解决
误报这类的反应速度还是较快
楼主的是恰巧更新了启发文件所以启发到了

sam.to

还以為是什么怪事,这个很平常

楼上下次直接上报到RU