由KIS 2009 (Build 8.0.0.357)無法從隔離區回存everest.exe說起

發表時間: 2008-6-11 02:44 作者: Siou-Ci_Jhang 來源: AVPClub Security Home

不曉得各位有沒有發生和我一樣的慘劇，6月7日晚上剛從KIS 7.0.1.325 MP1升級到KIS 2009 (Build 8.0.0.357)，原本在KIS 7.0.1.325 MP1下對於everest.exe的掃瞄安然無事，但安裝好KIS 2009 (Build 8.0.0.357)後進行全機掃瞄，睡了一覺到隔天早晨8號AM07:17看一下掃瞄結果，處理威脅時看到everest.exe被視為malware:"Suspicious.Packer"，KIS 2009建議我將everest.exe移至隔離區，移至隔離區後馬上上傳給卡巴司機病毒分析師分析，是這位分析師Vladimir Lebedev分析的，服務編號：[KLAB-5281859]信件內容如下圖：

想說應該是誤判於是更新database後手動掃描在隔離區的everest.exe(非每次更新database，KIS自動rescan隔離區的動作)，接著看著QB資料夾的變化，我發現手動掃瞄在隔離區的everest.exe，klq檔案就會自動被刪除

，這實在是太誇張了

，口說無憑以下提供圖片欣賞KIS 2009的傑作：

並附上影片供各位觀賞：
http://tw.youtube.com/watch?v=tnEmsgNPckY
這個檔案可以在下列網址找到：
EVEREST_Ultimate_Edition_2007_4.0_Build_975.zippassword:Suspicious.Packer
有興趣的可以試試看是不是有和我一樣的情況。

09.06.2008 23:34:53已回報給Helpdesk，SRF ID: 30976369，目前已超過估計24小時回覆的時間還沒回應。
我該按下紅色的Complain鍵了嗎？
因為這實在太誇張了，新版的KIS居然這麼草草拿出來賣，6月6號釋出到現在官方論壇已經開始在做Maintenance Pack 1的測試了，如果微軟WinXP Service Pack以這種速度出的話現在都超過編號SP3了，不過升級到2009的好處就是之前解決了Cambridge Advanced Learner's Dictionary - 2nd edition(CALD2)及7-Zip的問題。

CALD2若在KIS7下不使用以相容性模式Windows2000模式就無法在安裝KIS7的電腦上執行但今年初忘記哪天更新database後了突然CALD2也無法用Win2000相容模式騙過KIS7，反而點擊執行後馬上出現license data is invalid 看樣子是智財權的樣子需要讀光碟，搞了我好久的時間居然還整個系統重灌才意外發現開KIS7 Compatibility with Application Self-Defense under Compatibility，這個功能原文說明文件說的很清楚(This is because those programs have built-in self-defense mechanisms that turn on when Kaspersky Internet Security attempts to inspect them.)或許是這個動作讓CALD2覺得KIS7檢查它的動作像是侵犯license的感覺於是把License Delete掉才不能正常執行吧，於是開啟Compatibility with Application Self-Defense under Compatibility後執行CALD2就馬上要我放入光碟重新讀取Lisence，快快樂樂的使用到KIS2009事都沒發生不能使用的問題了；不過開Compatibility with Application Self-Defense under Compatibility有個功能要犧牲的就是OutlookExpress 的Anti-Spam plugin、Anti-Dialer 和 Protection of confidential data無法正常使用，這裡我還要提個小故事，就是居然傻到去官方論壇問Lucian Bara為什麼我OutlookExpress Anti-Spam plugin無法使用，結果原來是中文版害死我，從當時的7.0.0.125中文版到MP1中文版根本沒翻譯出當你按下相容性選項KIS7跳出來提示中Anti-Spam plugin component會失效這個部份的警告，這些問題在KIS2009下都不再存在了，甚至沒看到這個選項；另外7-Zip這個Bug之前就在Helpdesk寫過但超過一個月沒回應(25.04.2008 13:01:50寫的)，於是我按下紅色Complain鍵，結果5月27日台灣奕瑞就打電話給我，但那時我不在家沒接到，後來5月27日主動回撥客服只說我有在Helpdesk問問題及收到Cain用系統回的信，於是客服說等等會再打電話給我，當天下午來打電話跟我說要約時間做遠端桌面連線後也順便寄了一封遠端桌面連線軟體的下載位址，這時才覺得怎麼以前都沒有這種服務。隔天早上10點在約定的超準時地打電話來了，於是就遠進行遠端桌面連線啦，經過一番component獨立個別安裝的檢查終於確認是Privacy Control這個component出問題，此元件會導致於KIS7.0.1.325 MP1下7-Zip(Build 4.57)以.7z檔案格式、壓縮層級:Ultra、LZMA演算法、字典大小:64MB壓縮超過50MB的檔案(這是個約略值，我無法夾擊測試逼近它)7-Zip會出現"ERROR:Can't allocate required memory!"，而於7.0.0.125則正常：如下圖所示：
KIS7.0.1.325 MP1失敗:

7.0.0.125正常:

我也來說兩句 查看全部評論相關評論

ㄚ一 (2008-6-11 02:50:27)

你自己要勾選偵測可疑封裝,上報又不說明原因當然會有這樣的結果...
Siou-Ci_Jhang (2008-6-11 02:59:26)

QUOTE:
原帖由ㄚ一於 2008-6-11 02:50 發表
你自己要勾選偵測可疑封裝,上報又不說明原因當然會有這樣的結果...
可是這個結果官方論壇的Baz^^和Lucian Bara都不會產生這種問題耶
是怎麼一回事？
ㄚ一 (2008-6-11 03:18:34)

我不知道你在官網怎麼說明的?
但這很明顯你的everest不是官方版的,而且被修改重新加殼封裝的可能性很高
你不勾選偵測可疑封裝根本就不會報,或者你用來源管道正常的everest也不會有這種問題
Siou-Ci_Jhang (2008-6-11 03:24:07)

QUOTE:
原帖由ㄚ一於 2008-6-11 03:18 發表
我不知道你在官網怎麼說明的?
但這很明顯你的everest不是官方版的,而且被修改重新加殼封裝的可能性很高
你不勾選偵測可疑封裝根本就不會報,或者你用來源管道正常的everest也不會有這種問題
我是用interactive mode去安裝的，請問偵測可疑封裝的選項在哪裡呀，還沒有去修改過耶。
ㄚ一 (2008-6-11 03:29:16)

偵測類型的地方，你一定是安裝時候開啟的
因為這個功能預設沒有啟用
Siou-Ci_Jhang (2008-6-11 03:34:44)

QUOTE:
原帖由ㄚ一於 2008-6-11 03:29 發表
偵測類型的地方，你一定是安裝時候開啟的
因為這個功能預設沒有啟用
我忘記最初安裝時候有沒有看到所謂的偵測類型了耶，
因為我是用英文版裝的請問你說的偵測可疑封裝英文全名是什麼？
Siou-Ci_Jhang (2008-6-11 03:46:38)

剛剛和ㄚ一您在討論時，意外發現我隔離區的狀態異常，如下圖所示：

隔離區顯示空無一物，但統計資料卻有4294967294個物件被隔離。
請問我的QB資料夾是不是因為在安裝時選了偵測可疑封裝產了這一連串的問題？

[ 本帖最後由 Siou-Ci_Jhang 於 2008-6-11 03:50 編輯 ]
ㄚ一 (2008-6-11 03:53:01)

QUOTE:
原帖由 Siou-Ci_Jhang 於 2008-6-11 03:34 發表

我忘記最初安裝時候有沒有看到所謂的偵測類型了耶，
因為我是用英文版裝的請問你說的偵測可疑封裝英文全名是什麼？
suspicious.packer
ㄚ一 (2008-6-11 03:54:02)

QUOTE:
原帖由 Siou-Ci_Jhang 於 2008-6-11 03:46 發表
剛剛和ㄚ一您在討論時，意外發現我隔離區的狀態異常，如下圖所示：

隔離區顯示空無一物，但統計資料卻有4294967294個物件被隔離。
請問我的QB ...
不知道，沒有log嗎？
Siou-Ci_Jhang (2008-6-11 04:00:59)

QUOTE:
原帖由ㄚ一於 2008-6-11 03:54 發表

不知道，沒有log嗎？
我也不知道耶，請問Log怎麼查?
ㄚ一 (2008-6-11 04:12:33)

按report
把跟你問題相關的部份貼上來
Siou-Ci_Jhang (2008-6-11 04:21:52)

QUOTE:
原帖由ㄚ一於 2008-6-11 04:12 發表
按report
把跟你問題相關的部份貼上來
問題相關?我根本不知道發生什麼事了?
怎麼找相關的問題？
我現在最怕的是KIS2009會殺掉我那麼多檔案。." />
ㄚ一 (2008-6-11 04:24:59)

那我愛莫能助了...
Siou-Ci_Jhang (2008-6-11 04:38:26)

QUOTE:
原帖由ㄚ一於 2008-6-11 04:24 發表
那我愛莫能助了...
我再貼一張更清楚的圖。

這是我剛加入家園PO的第二篇文章，希望這是個熱情相助園地，謝謝。
Siou-Ci_Jhang (2008-6-11 06:28:20)

QUOTE:
原帖由ㄚ一於 2008-6-11 03:54 發表

不知道，沒有log嗎？
GSI Log可以嗎？
我電腦的GSI LOG
KIS Report的Log分很多類有Protection、Anti-Malware、System Security、Online Security、Content Filtering、Scan、Update，請問我需要收集哪一個類別的log？
Bug (2008-6-11 08:44:48)

我正在用 KIS 8.0.0.402
我電腦從好幾年來一直都有裝 Everest
試過 357 和 402 的全系統掃描都沒有誤報 Everest

而且 357 必須更新至 357a.b
將會修正許多如PDM與HIPS的錯誤並降低系統占用
Bug (2008-6-11 08:53:14)

支援-->支援工具-->開啟追蹤-->建立AVZ報告-->上傳(或取出AVZ資料夾壓縮寄信箱)

如果是GSI報告可以上傳至 http://gsi.kaspersky.fr/
Siou-Ci_Jhang (2008-6-11 22:08:09)

QUOTE:
原帖由 Bug 於 2008-6-11 08:44 發表
我正在用 KIS 8.0.0.402
我電腦從好幾年來一直都有裝 Everest
試過 357 和 402 的全系統掃描都沒有誤報 Everest

而且 357 必須更新至 357a.b
將會修正許多如PDM與HIPS的錯誤並降低系統占用
真的是非常不好意思，居然沒把urgent update a.b寫上，
讓人誤會我沒有更新應用程式模組。
ㄚ一 (2008-6-11 22:14:00)

你這問題最好就是把你的電腦拿給官方處理
目前我還沒有看到有誰可以複製出你的問題
想要解決目前是不可能的！
Siou-Ci_Jhang (2008-6-11 22:45:55)

QUOTE:
原帖由ㄚ一於 2008-6-11 03:53 發表

suspicious.packer
我找遍了官方的英文版說明文件都沒有suspicious.packer這個選項，這個選項正確的名稱是Suspicious compressed files才是正確；另外ㄚ一大大您說我"一定是在安裝的時候開啟的"這句話有問題，應為無論安裝時或安裝完成後，都可以隨時開啟或關閉這樣敘述才完備，如下圖所示：

關閉Suspicious compressed files這個選項進行掃描的時候的確如您所說的不會報everest.exe成suspicious.packer，但重點是開這個選項把everest.exe隔離，正常來講KIS2009不應該是當我去點擊Scan隔離的everest.exe時將這個動作視為刪除備份吧。這有點像是目前Build 8.0.0.357 a.b main issue文件中所提到的掃瞄密碼檔案時提示要求輸入使用者密碼，若按Help則視為Skip的動作，這是明顯的動作異常如下圖所示：