发现NOD的一个重要BUG

显示全部楼层 · 发表于 2010-8-25 21:00:19

本帖最后由 wajika 于 2010.8.28 11:42 编辑

最近中了一个病毒win32.qvod.aa.5756，我在搜索关键词的时候，发现金山贝壳有这个纪录http://bk.beike.cn/dig/8ed71b0b9a2bc738494dcba166f71f3d
看到下面的NOD这项，它检测到Win32/Wapomi.I，而金山的是Win32.Qvod.aa.5756，贝壳抓到的病毒是uninstall.exe ，而我的电脑感染的是PELite.EXE（就是ACDSEE的某个程序。金山报是Win32.Qvod.aa.5756），我也将它提交到VIRUSTOTAL，在23日NOD无法查明，我当时就感到很诧异，明明是相同的病毒，NOD无法识别出病毒，可能两个文件其中某个被加了某些东西造成某些杀毒软件无法查杀，但是NOD应该也有一系列的解密技术，金山并没有我的这个PELite.EXE程序的样本，为什么金山就可以识别NOD不行，后来我提交到VIRUSTOTAL之后，NOD可能得到了这个样本，但是它也是将它识别为a variant of Win32/Wapomi.J，意思是它的变种，奇怪？变种吗？如果是变种金山会识别为Win32.Qvod.aa.5756？连后面的数字都没变，而且当时我用金山杀毒时是22号病毒库，如果是变种金山就算能识别，也不可能修复，这点我已经用25号数据库的NOD扫描了PELite.EXE这个样本，启发识别了但只是杀掉没有修复，说明这个样本没有被详细分析。

结论就是NOD的引擎有问题，两个样本病毒相同，就是感染的程序不同，一个正常的杀毒软件如果有这个病毒的特征数据，两个样本都应该识别出来，还有种可能病毒在感染不同的时候可能感染的位置不一样，但是不管如何金山都识别出来了，NOD却不行，反正不是引擎的问题就是别的问题，但问题最终都出在NOD自己身上

经过扫描，其中 4/6 款杀毒软件检测到 uninstall.exe 含有病毒木马及可疑风险!

软件名称	检测结果(仅供参考，用于帮助您判断文件是否安全)
毒霸	病毒木马：Win32.Qvod.aa.5756
瑞星	没有检测到风险
卡巴斯基	蠕虫病毒：Worm.Win32.Qvod.a
Nod32	病毒木马：Win32/Wapomi.I
小红伞	病毒木马：TR/Patched.Gen
Mcafee	没有检测到风险

25号的数据
http://www.virscan.org/report/e37de8f8c669fa8fc401fa818d0355e7.html
http://www.virustotal.com/file-scan/report.html?id=03cecbf05b30011e4d97f547178c02288371b7fb7b59fac4925cf6b9649aa2ac-1282739580
第一次用NOD的数据
http://www.virustotal.com/file-scan/report.html?id=6152e6dc6ad3145ff67ece22d23a936a2bb34e1ce69d72539d6d1ca8c65918a9-1282541277
文章写的很离散，如果有异议我明天更新

显示全部楼层 · 发表于 2010-8-25 21:44:43

完全没看懂楼主的意思~~楼主说过去说过来把我绕晕了~~只能说如果楼主说的是杀软显示的病毒名字不同的话可能是因为NOD很多病毒都是用一类规则来判别的，因此没有办法准确识别某个病毒的名字，只是这个病毒被归到某一个病毒规则下，所以显示的是这个规则所代表的一类病毒的名字。

显示全部楼层 · 发表于 2010-8-25 22:52:36

这类病毒我杀过很多样本区有例子

显示全部楼层 · 发表于 2010-8-25 23:09:47

最近中了一个病毒win32.qvod.aa.5756，我在搜索关键词的时候，发现金山贝壳有这个纪录
看到下面的NOD这项， ...
wajika 发表于 2010.8.25 21:00

其实这只是厂商的命名方式不同而已，NOD32习惯报变种是因为启发式能识别无需直接入库，或者是将其归类于Win32/Wapomi.J

金山能准确报出Win32.Qvod.aa.5756，是根据病毒报的，但是你也不能保证感染不同程序文件后病毒本身发生了改变吧？

其实这类问题是厂商应该考虑的，您可以反馈给NOD32 club中国论坛。大多数用户只考虑能不能识别和能不能杀

显示全部楼层 · 发表于 2010-8-26 07:10:48

建议楼主提供样本，以便于我们的测试

显示全部楼层 · 发表于 2010-8-26 08:06:29

本帖最后由 bc123 于 2010.8.26 09:27 编辑

回复 1楼 wajika 的帖子
楼主，你的意思把我搞糊涂了！我只能说NOD32是根据病毒的特性来判定是否为病毒（执行某些危险API的顺序）和病毒的名称，至于只能报出病毒名称却不能查杀和修复可能是因为病毒制作者修改了病毒的源代码和感染行为，导致原来提取的隐含式特征码（第一套和二套特征码）不起作用了。

显示全部楼层 · 发表于 2010-8-26 08:33:07

原创有些不妥吧

显示全部楼层 · 发表于 2010-8-26 10:09:24

不懂

，太深奥了

显示全部楼层 · 发表于 2010-8-26 11:15:29

LS几位果真是没看懂。。。

显示全部楼层 · 发表于 2010-8-26 11:26:07

本帖最后由 wajika 于 2010.8.26 11:28 编辑

我的意思是说 A，B两个文件被同一个病毒感染（金山识别为同一病毒），但是NOD却只能识别出A文件中了病毒，B却没有识别出来，这点很奇怪，就算B文件被加了壳，应该也是能够识别出来的，众所周知NOD本来就自带高启发（高启发的实际应用：在得到一个样本的特征后，如果今后再发现类似的病毒就会识别出这个为可疑文件），这点说明NOD的启发有问题。
再者，我将B样本上报，过了几天之后NOD将B样本入库，但是却命名为一个变种。这点更奇怪了，B如果是A的一个变种，那么说明这两个文件不是同一个病毒，那么金山怎么能用A的特征识别出B文件？两个文件同时都识别为XX连后面的数字都一样，而且还能修复被感染的文件，金山这点说明A，B两个文件中的是同一种病毒

[原创] 发现NOD的一个重要BUG

浏览过的版块