根据我这几天对磁碟机的测试,偶然发现小红伞奇怪的现象:
当我运行磁碟机病毒后,病毒开始有选择性的修改除系统盘分区以外的exe文件。
随后。我使用专杀对磁碟机进行了清除,但是因为最后版本的磁碟机感染文件的特殊性。目前出现的专杀均无法修复其感染的其他程序的exe文件。
我随即用小红伞对系统进行全面扫描。查出很多被感染的exe文件。但是,此时,发现奇怪的现象出现了:
我安装在d盘的金山wps程序。其下面所有的exe均被病毒修改,小红伞可以查出附属的所有被感染exe文件并删除了。但是,唯有wps的三个主程序et.exe、wps.exe、wpp.exe小红伞根本查不出来,而且实际运行发现该三个文件的确感染了磁碟机病毒的,随后检查3个文件都有5M大小(原始正常文件,被感染后,其文件头部嵌入了病毒变大)。
也就是说,该磁碟机可能用了不同的方法来感染较大的文件或者针对特定名称的文件,这个我也没有深入研究。总之该磁碟机设计非常好。至今仍无专杀可修复感染文件。更有趣的是,此版本磁碟机设计了一个功能,如果你再次运行被感染文件,该感染文件会自动还原成原始正常文件,但这样的代价是再次激活磁碟机病毒。此问题倒不是本文重点。
重要的是以下内容:
我决定将此3个被感染文件上传到avira进行分析。因为考虑都是被一个病毒感染的,因此打算上传一个就可用了吧(我想一般人都会这么想吧)。好的,当我随便选择了一个et.exe给avira。下午,该et.exe被入库查出为病毒TR/Xorer.Q.1。随后。我当然要验证是否可以查出wps.exe和wpp.exe了。结果大吃一惊,此两个文件根本不报,我想是否avira没有捕捉到共有特征,于是决定再上传一个wpp.exe。次日上午,果然更新病毒库后,wpp.exe也被检测出是TR/Xorer.Q.1。再次测试wps.exe,晕死,居然还是不报。只有再次上传。
我当时分析可能是此版本磁碟机感染方式比较特殊,有可能针对不同文件采取呢不同的方法感染。导致此问题。
但是矛盾的是,我分三次上传的文件都是TR/Xorer.Q.1。为啥他们没有认真分析,或许根本不是人脑分析的?
随后,出于偶然的机会。我今天有测试另外一个病毒,该病毒也是感染其他分区的exe文件,谁知道,居然效果完全一样。我重复了上面一段的所有操作步骤。真是非常郁闷吧。于是我用编辑器分别打开这三个被感染的exe文件和原始文件进行分析,发现三个感染文件的感染方式完全一样,病毒在文件头写入的内容也完全一样,出现这样的完全相同感染情况,avira居然不能触类旁通,让人非常失望。
由此看来,现在的avira的病毒分析已经出问题了,他们没有认真的分析病毒的通用特征,而是就事论事,只检测单个文件自己的特征,这样会导致很大的危险。难道他们真的是在用机器人分析?这样不是会导致病毒库无谓的增大臃肿吗?
我也來說兩句 查看全部評論 相關評論