[討論] 小紅傘取病毒特徵碼功力不夠理想

看板AntiVirus (防毒)作者kissahping (七)時間16年前 (2009/11/03 18:17)推噓5(5推 0噓 8→)

留言13則, 10人參與討論串1/1

最近發現兩個類似的病毒，上報多家廠商後，一時興起來測試各家廠商取特徵碼的功力。點選可以連結到目前最新(11/3)的VirusTotal掃描結果。 1. 　Lily_Allen_-_Fuck_You.mp3 （未解毒前）　　http://tinyurl.com/yenmem4 　Lily_Allen_-_Not_Fair.mp3 （未解毒前）　　http://tinyurl.com/y8frd7t 2. 　Lily_Allen_-_Fuck_You.mp3 （解毒後 by Dr. Web）　　http://tinyurl.com/yccy7q9 　Lily_Allen_-_Not_Fair.mp3 （解毒後 by Dr. Web）　　http://tinyurl.com/y968kz6 3. 　Lily_Allen_-_Fuck_You.mp3 （解毒後 by Kaspersky）　　http://tinyurl.com/yc563fq 　Lily_Allen_-_Not_Fair.mp3 （解毒後 by Kaspersky）　　http://tinyurl.com/yaypkdu （該檔案解毒後依然可以播放，但絕不是原曲。）由結果可以得知，解毒前的檔案，FY.mp3檔共10家偵測到，NF.mp3檔則有13家。在經過Dr.Web（使用 CureIt! 5.0）和KIS 2010解毒後，兩廠商解毒後掃瞄結果一樣：　大多數報毒廠商都能正確判別檔案已無害，但FY.mp3檔依然被紅傘報毒　，NF.mp3檔則被紅傘和McAfee-GW-Edition（偵測同樣來自紅傘+自主啟　發）持續報毒，這兩個例子看得出來紅傘特徵碼取得不是很理想，以致　無害檔案持續誤報。的確這樣可以達到喜愛紅傘推崇者熱愛的高偵測率，但相對地捕風捉影式的偵測碼，提高了無害檔案誤判的機率... 原病毒壓縮檔下載網址（密碼：infected）：http://tinyurl.com/y95ygjh -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.121.3.229

推

SDUM

11/03 18:22, , 1^F

11/03 18:22, 1^F

開頭不就說了，上報多家廠商後，就是紅傘特徵碼取得不夠理想才會連已經解毒的檔案都判別不出來…在我上報前，報毒廠商微乎其微。另外，我之前已經把「解毒後」的檔案上報紅傘了，只是不知道何時能排除，但特徵碼沒改，往後遇見類似檔案還是可能會誤判。 ※ 編輯: kissahping 來自: 122.121.3.229 (11/03 18:31)