查看完整版本: 卡巴斯基攝取病毒特徵碼的疑雲

卡巴斯基攝取病毒特徵碼的疑雲

事件由來 : 防毒軟體測殼大亂鬥所選的樣本c及其加殼樣本

由於所選的樣本c偵測率異常, 便特意把其中一加殼樣本(UPX)多次上報卡巴斯基實驗室詢問原因, 得出以下結果
[quote]
>  c.exe_
>  
>  No malicious code was found in this file.
>  
>  c.exe_ - Trojan-Dropper.Win32.Agent.dqj
>  
>  This file is already detected. Please update your antivirus bases.
>  
>  Please quote all when answering.
[/quote]
但沒有回答原因, 直到今日, 回信廿多日前寄的信, 都是上述的官腔式答法
小弟今日在回覆回覆信時, 得出以下最新的回覆
[quote]
Excuse me, for that answer, when we'll solve this problem, I'll write
to you as soon as possible.
[/quote]
就第一次回覆內容, 可以知道加upx殼後, 分析員確認是無惡意代碼, 而原樣本(未加殼)是有惡意代碼
而第二次回覆內容, 可以推測,
1. 加upx殼後, 是有惡意代碼, 但分析員錯誤分析
2. 原樣本是沒有惡意代碼, 但分析員錯誤分析
3. 加upx殼後, 真的無惡意代碼, 而原樣本是有惡意代碼, 但分析員無法解釋原因

現在只能等待分析員再度回覆, 雖然不知是否真的會回覆:L
希望各位大大可以一起討論原因:)

雖然不知道 他們測試一個檔案的程序及使用工具
但可想而知 分析員的功力及使用的工具有關
無法在第一時間分析出是否含有病毒行為
記得上次去上某一防毒公司的課程
他們有說到 一隻毒進入實驗室就要在一定時間內分析完畢
並要同時寫出病毒碼
所以他們壓力其實也滿大的 是可以諒解的

但...............最近一連串的事件 的確會讓人以為 卡巴的誤判率很高
或許是他家的防軟打壓 也或許是某些分析員程度不足
但使用者還是個人  個人覺得它是最好的 就是最好的囉

嗯，上次刻意多次上報簡體的按鍵精靈是否有可能為木馬均無音訊，簡單的樣本沒兩天就回覆了...許多特殊性質軟體還是很考驗分析員功力的吧。

分析員的技術的確很重要
可是小弟覺得卡巴的分析員的技術很參差不齊
有時把正常檔案上報, 卡巴會報病毒:@
再上報該正常檔案再外加描述, 會報回正常檔案:L

Kaspersk一天處裡的樣本可能成千上萬
大部分都是機器分析入庫,分析師只負責看信件內容
如果沒有特別的訊息分析人員不會去人工分析樣本

用機器分析真是先進, 難怪卡巴的回覆時間可以那麼快
但是機器分析不是存在很多問題, 如 : 誤判/漏判...:quuu:

這個我就不曉得了
看他們自己內部的規則吧

給這次的內容弄得頭大了:L
跟卡巴的人員討論為何加UPX殼的樣本不被卡巴偵測
結果他都只是說 "c.rar" just is a packed tool but not a virus.
小弟已清楚把2個檔案的來源告訴他,
(i packed the the file in smaple c.rar with upx, which is used to be sample of unpacking test
then rename the output file (packed with upx) to be the file in c.rar
that mean the two file are the same if i decompress the file in c.rar)
可是都是這樣的結果:L

感覺c情況比較大，能正常運行釋放嗎?
例如在vmware下開啟kav的即時防護，如果釋放後有抓到就有問題了

那包樣本 我已經刪了

不然可以再測一下 C樣本:o

他可能看不太懂你的敘述……俄羅斯人的英文好像也不是很好……

你可以附上兩個檔案和加殼工具，告訴他兩個檔案一樣，其中一個用UPX加殼，結果一個能偵測另一個不能。也不用多說什麼加殼測試來擾亂他，就跟他說這個變種是老子自己做的，你再堅持它沒有毒我就把它放上網用……

內容最短大概這樣：
There are two virus samples. The （原始檔） can be detected by KAV as （病毒名稱）. The C.rar is the same file (原始檔）encrypted by a packed tool UPX, and the C.rar can not be detected by KAV.

他有閒的話會自己試著加殼驗證看看，不然也沒辦法了。

[quote]原帖由 [i]SPeter[/i] 於 2008-3-13 20:49 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=77027&ptid=8366][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
他可能看不太懂你的敘述……俄羅斯人的英文好像也不是很好……

你可以附上兩個檔案和加殼工具，告訴他兩個檔案一樣，其中一個用UPX加殼，結果一個能偵測另一個不能。也不用多說什麼加殼測試來擾亂他，就跟他說這個 ... [/quote]
有了很多方法說明兩個檔案是來自同一檔案
但他都堅持一個是木馬, 另一個只是已加殼的工具沒有威脅:L
[quote]The virus analysist  have detect "c.rar" is not a virus with upx packed,which is just a packed tool.[/quote]
[quote]
The virus analysist  have detect "c.rar" is not a virus with upx packed,which is just a packed tool.
[/quote]
[quote]
Kaspersky could detect the "sample c.rar" because of it is a virus.  "c.rar" just is a packed tool but not a virus.
[/quote]
[quote]
"Sample c.rar " is a trojan virus.
"c.rar" is a clear file,is a packed tool.
[/quote]

那我看你得叫他自己加殼看看……

不然找別人發信去問，可能你在卡巴工程師之間出名了，對方只要一看到是你寄的信就跟收到的人說直接用這個回覆。所以其他的工程師可能也都以為別人驗證過該程式，而你是存心來亂的（:fdqyt: ），就都照之前的內容回。

[quote]原帖由 [i]SPeter[/i] 於 2008-3-14 14:22 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=77120&ptid=8366][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
那我看你得叫他自己加殼看看……

不然找別人發信去問，可能你在卡巴工程師之間出名了，對方只要一看到是你寄的信就跟收到的人說直接用這個回覆。所以其他的工程師可能也都以為別人驗證過該程式，而你是存心來亂的 ... [/quote]

不是發信到[email]newvirus@kaspersky.com[/email]詢問的
而是透過卡巴斯基的"支援"服務詢問的

嗯，但是寄去的內容跟檔名都一樣，應該很容易看出是同一來源。我是不確定卡巴工程師有幾人，不過依據人性本懶的觀點這樣推論（人家也不過就是混口飯吃）……

我想您應該也附過其他家業者的判斷了吧？也可能是他們的自動處理誤判，造成之後處理工程師先入為主的看法。要不要試試看把樣本用其他管道上報，看會不會有用？

在下也來問問老卡:o .

其實可以換個作法！
把樣本從新打包，換個mail
換個身分去詢問，換道別的分析員的可能性很大

[quote]原帖由 [i]ㄚ一[/i] 於 2008-3-14 22:24 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=77235&ptid=8366][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
其實可以換個作法！
把樣本從新打包，換個mail
換個身分去詢問，換道別的分析員的可能性很大 [/quote]

改成"newvirus@kaspersky.com"來討論會比較好,分析員常常換:o .

可以上報的方法都試過了
"支援"服務
電郵上報

"支援"服務的機制真的不好, 它們有權關閉查詢的問題, 試過未得到回覆就被關閉

試試再回覆, 這段內容, 希望他們會回覆:plzz:
[quote]Excuse me, for that answer, when we'll solve this problem, I'll write
to you as soon as possible.[/quote]

[quote]原帖由 [i]000110[/i] 於 2008-3-15 12:29 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=77412&ptid=8366][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
可以上報的方法都試過了
"支援"服務
電郵上報

"支援"服務的機制真的不好, 它們有權關閉查詢的問題, 試過未得到回覆就被關閉

試試再回覆, 這段內容, 希望他們會回覆:plzz:
[/quote]

在下也寄了一份說明:
[quote]Dear Kaspersky Lab:

C(Original).rar PASSWORD:virus , C(UPX).rar PASSWORD:virus

The "C(Original).rar" in the attachments is a virus you have known "Trojan-Dropper.Win32.Agent.dqj".

And The "C(UPX).rar" in the attachments is as same as "C(Original).rar" , BUT you said it was "no virus"!

The "C(UPX).rar" just packed with "UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser"!

WHAT'S GOING ON?

Thanks.[/quote]

[quote]原帖由 [i]integear[/i] 於 2008-3-15 13:05 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=77420&ptid=8366][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]


在下也寄了一份說明:
[/quote]
這次卡巴頭痛了:hug:

[quote]原帖由 [i]000110[/i] 於 2008-3-15 13:17 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=77423&ptid=8366][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]

這次卡巴頭痛了:hug: [/quote]

已經一天了,看來Kaspersky也在研究中:hug: .

回復 22# 的帖子

謝謝你的熱心教導...
有你真好...

[quote]原帖由 [i]xppara[/i] 於 2008-3-15 16:19 發表 [url=http://www.avpclub.ddns.info/discuz/redirect.php?goto=findpost&pid=77458&ptid=8366][img]http://www.avpclub.ddns.info/discuz/images/common/back.gif[/img][/url]
謝謝你的熱心教導...
有你真好... [/quote]

呵呵,似乎回錯篇了:'( :

不過還是要說:不用客氣!另外閣下是外籍人士嗎?看Youtube上閣下是加拿大人:fdqyt: .

咁最後佢有冇解答到你條問題?