卡巴分析部门对于样本区某帖的回复

syfwxmh

http://bbs.kafan.cn/thread-718521-1-2.html


原帖


卡巴斯基分析部门给俄罗斯测试团队的回复

It trojan is joiner. Join malware to clean file.
Virus analyst answer us that no sense disinfect this file.

fengmlf668

谷歌翻译如下：
这木马是木匠。加入恶意软件清理文件。病毒分析师回答我们，没有任何意义消毒此文件。

jason_jiang

汗，drweb和panda都能清毒，且清毒后运行正常

aerbeisi

joiner意译过来就是被附加了。

加入恶意代码到干净文件里。我们不必要清毒。

所以前半句是废话，我们也知道这是干净文件被染毒了，一个感染正常文件的感染型病毒。关键是后半句的回答我们不必要清毒，可事实是很多杀软清毒了，我刚好装着毒霸，的确清毒了，清毒后文件变小，恶意部分被删除了，运行正常，所以应该是这个分析师欠付责任。这怎么能不必呢？能清毒为什么不必？难道还要叫我们再去下载一遍干净的文件？小的exe全盘都感染的话，都去下载，那要多麻烦啊。有些可能连下载的地方都找不到了。这样的话跟被替换exe病毒性质一样了。


这个病毒最近两天样本区重复出现多次
病毒分析：
很多用户可能都是用过一款名为“QVOD（快播）”的视频播放软件。近期，赛门铁克安全响应中心检测到一个病毒W32.Wapomi,它将自身文件的版本信息伪装为QvodInstall Module，并且采取了一个与快播图标非常类似的标识，从而诱导用户将其误认为快播的安装程序。

运行时，该病毒会通过多种方式阻止用户删除它所保护的注册表键值，并通过映像劫持禁止安全软件运行。此外，W32.Wapomi还会从指定网站下载更多的恶意程序到用户机器并运行，并且把从用户计算机搜集到的信息发送给攻击者。

该病毒采用多种方式进行传播：
1.把自身拷贝到各磁盘分区的回收站中，并添加对应的autorun.inf
2.使用自带的密码表尝试连接开有远程共享服务的计算机，一旦成功就会试图把病毒自身复制到远程机器
3.感染在用户计算机上找到的EXE文件，被感染的文件检测为W32.Wapomi!inf.当用户运行被感染文件时，它会首先释放W32.Wapomi并运行。

syfwxmh

楼上几位都理解错意思了吧

卡巴这句话的大意是说
It trojan is joiner. Join malware to clean file.
Virus analyst answer us that no sense disinfect this file.

这个木马是手动加入到干净文件里的， 分析师告诉我们从这个样本中清除病毒没有必要的。

aerbeisi

不好意思我改了，no sense理解错误，查了一下是不必，没有理由。

syfwxmh

回复 6# aerbeisi 的帖子
米关系，估计是卡巴理念的问题吧。

   

aerbeisi

其实我很关注杀软感染型病毒的清毒能力。这个比单独生成新文件的病毒麻烦多了，单独生成新文件的病毒很简单直接删除即可，感染型病毒的清毒只有程序员会搞，普通用户如果碰到这类病毒，而杀软又不能杀，那么是很痛苦的，也许你辛辛苦苦几年来收集的实用的exe就全部报销了。

其次，如果是企业客户，比如装的某一行业软件，就其中的exe被感染，那么就痛苦了。因为是行业软件。有些还得其他部门来装。比如很多报税的软件个人是不能装的，这样企业客户抱怨会很多。如果这时候能清毒，很多软件就不用重装了。如果不能清毒，那么跟中了替换型病毒差不多。

也碰到过很多卡巴能清毒，其他若干杀软不能解毒的。总之，没有万能的杀软。应该是卡巴对这个病毒没有下功夫研究。

英姿飒爽

5L是正确翻译

122606929

E文不好，看不懂。