鉴于QVM刚刚起步，误报不可避免，为了更好的改善产品，欢迎大家提交误报样本

显示全部楼层 · 发表于 2010-12-15 18:29:35

dl123100 发表于 2010-12-15 17:57
16个masm32的示例文件貌似有几个是BD的误报不重新上传

鉴定完毕，是误报。已经加入学习。谢谢！

显示全部楼层 · 发表于 2010-12-15 19:10:12

evilrabbit 发表于 2010-12-15 16:53
相应号召发个误报的样本吧

qvm00

鉴定的初步结果如下：
（1）文件代码上没有太大问题
（2）但是应该不是熊猫正常使用的驱动
（3）正常版本的熊猫驱动见下面的链接
（4）如果要进一步确认，需要环境。
正常的熊猫驱动，文件版本号和此上传的版本号相同，但是尺寸大3KB，且带数字签名。http://u.115.com/file/t8cd04b0f5
再次对您的上传表示感谢！

显示全部楼层 · 发表于 2010-12-15 19:58:49

junyangxie 发表于 2010-12-15 19:10
鉴定的初步结果如下：
（1）文件代码上没有太大问题
（2）但是应该不是熊猫正常使用的驱动

继续查询了云端信息，情况如下：
此文件在不断变化文件名。文件名长度一样，但是随机生成。应该是一个被修改来做坏事的驱动。
aftncnkatnqq.sys
jfoejftoyvbs.sys
tpiosiliayxj.sys
……

显示全部楼层 · 发表于 2010-12-15 20:00:10

本帖最后由 evilrabbit 于 2010-12-15 20:09 编辑

回复 12楼 junyangxie 的帖子

一会上个包呵呵
http://u.115.com/file/t5904ea3b6

显示全部楼层 · 发表于 2010-12-15 20:24:03

evilrabbit 发表于 2010-12-15 20:00
回复 12楼 junyangxie 的帖子

一会上个包呵呵

收到，谢谢！

显示全部楼层 · 发表于 2010-12-15 20:57:06

evilrabbit 发表于 2010-12-15 20:00
回复 12楼 junyangxie 的帖子

一会上个包呵呵

目前联网状态下，客户端应该不报病毒了。但驱动加载会谈橙框警告。明天，我再找人看看。
再次表示感谢！

显示全部楼层 · 发表于 2010-12-17 10:09:46

顶一下

显示全部楼层 · 发表于 2010-12-17 16:55:52

evilrabbit 发表于 2010-12-15 20:00
回复 12楼 junyangxie 的帖子

一会上个包呵呵

谢谢您提供的压缩包。进一步分析和决定如下：
（1）rkpavproc.sys 这个驱动的大致功能是从内核打开进程或者线程（获得句柄），获取进程线程的一些数据。
（2）随机产生文件名，是这个工具本身带有的功能。可能是为了防止木马病毒的针对性定向打击。
（3）程序本身有一些漏洞，没有对调用者进行权限检查和身份验证，可以用来对付一些恶意软件，但也可以被恶意软件直接用来对付安全软件。网上也有相关报道。
（4）另外，此程序的使用范围不是很大。
综上，我们的建议是，这个程序不会被报木马（QVM也不会报），但是也不加白。用户使用过程中，会谈橙框提示，只要点运行就可以使用。
再次对您的支持表示感谢！

显示全部楼层 · 发表于 2010-12-21 20:40:23

本帖最后由 zhengxu_1985 于 2010-12-21 20:41 编辑

回复 1楼 zdolo 的帖子

2.0检测出来的是一键恢复里的文件
360杀毒扫描日志

病毒库版本：6466353
扫描时间：2010-12-21 20:06:06
扫描用时：00:25:55
扫描类型：全盘扫描
扫描文件总数：165962
威胁总数：3

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：通知用户
扫描系统内存：是
扫描磁盘引导区：是
扫描 Rootkit：是
使用QVM启发式引擎：是

扫描内容
----------------------
全盘

白名单设置
----------------------

扫描结果
======================
系统插件扫描结果
----------------------

病毒扫描结果
----------------------
c:\Documents and Settings\Administrator\Local Settings\Application Data\TheWorld\Chrome\User Data\Default\Cache\f_000813=>我的最新照片.exe
可疑木马(Trojan.Generic.5192279)
已删除
c:\Documents and Settings\Administrator\Local Settings\Application Data\TheWorld\Chrome\User Data\Default\Cache\f_000814=>我的最新照片.exe
可疑木马(Trojan.Generic.5192279)
已删除
c:\dosh\ghos\del_gho
可疑木马(Trojan.Generic.3929014)
未处理

显示全部楼层 · 发表于 2010-12-21 20:58:36

回复 19楼 zhengxu_1985 的帖子

今天太晚，明天我们处理一下，3x

[误报文件] 鉴于QVM刚刚起步，误报不可避免，为了更好的改善产品，欢迎大家提交误报样本

评分

本帖子中包含更多资源