題 如何檢查反病毒的假陽性


Ran Kaspersky Rescue 10過夜,系統乾淨整潔,除了一個不起眼的捷徑(數百個之一)。卡巴斯基將該木馬報告為:

trojan-downloader.win32.pif.xx

並根據 這個Microsoft鏈接,卡巴斯基確實可以找到有效的感染。我已經在二進制編輯器和記事本中仔細檢查了.lnk文件,沒有任何明顯可疑的內容。

病毒掃描程序使用各種複雜的啟發式方法(例如SHA256哈希)來檢測感染,但這些都容易出現誤報。是否有任何手動方式確定快捷方式是否被感染或卡巴斯基是否偶然發現(罕見)假陽性?

UPDATE

我找到了這個 在線掃描儀。上傳我的.lnk文件後,卡巴斯基再次找到上述木馬......但其他55個掃描儀一無所獲。快捷方式是運行此命令:

%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat

在做了一個微不足道的刪除之後 /low 從上面的命令,每個掃描儀現在顯示包括卡巴斯基在內的清潔快捷方式。我也掃描過 cmd.exe,批處理文件本身和一些其他類似命令的快捷方式。沒有檢測到。

高度自信,這似乎是誤報。


3
2018-04-26 10:23


起源


你可以檢查假陽性的唯一方法是,如果你知道某些東西是病毒。鑑於您首先需要掃描儀,因此答​​案是:掃描不同的掃描儀,但請記住,另一個程序可能找不到此病毒,因為它不知道如何掃描它。只檢查文件的二進制數據是不夠的。 - LPChip
您的Microsoft鏈接無法正常工作 - manjesh23
@ manjesh23它適合我。 - LPChip
@LPChip,然後不確定我的機器有什麼問題。謝謝你的更新。 - manjesh23
@Ramhound:如果您認為該名稱是相關的,那就是“將OPC發送到USB.lnk”。這是我用於各種C ++和Delphi開發項目的許多批處理文件的許多快捷方式之一。所有快捷方式和批處理文件都由我自己創建或編寫。那卡巴斯基標誌著這種模糊不清的捷徑,因為威脅讓我立即想到“假陽性”,因此這個問題。 - AlainD


答案:


“誤報”定義為反惡意軟件軟件檢測到問題時,但實際上並不是惡意軟件。沒有萬無一失的直接簡單過程可以100%排除誤報。如果有,我們會自動化該技術,並製作反惡意軟件軟件的一部分。

那麼你問題的答案,

“有沒有任何手動方式確定”。

是:只有一個。這種方式是手動分析威脅,你說你在記事本中做了。如果你應用了足夠的專業知識(例如,了解文件的格式,以及它可以做什麼),那麼你已經完成了所有你可以“肯定”做的事情。這就是世界上最好的反惡意軟件作者/專家所能做的。沒有任何其他更“明確”,也沒有任何其他更“簡潔”的簡單過程。

您可以使用的一種方法是投票。上傳文件到 http://VirusTotal.com 并快速查看其他反惡意軟件對該文件的看法。

反惡意軟件軟件供應商通常會在其網站上發布有關檢測到的威脅的更多信息。搜索“卡巴斯基威脅數據庫導致我進入卡巴斯基VirusWatchLite,然後您可以將”trojan-downloader.win32.pif.xx“輸入到過濾器框中。這告訴您卡巴斯基在2010年4月添加了威脅。與其他威脅不同,這種威脅似乎沒有更多信息的超鏈接。

或者您可以嘗試在網上搜索“trojan-downloader.win32.pif.xx”。這告訴我“trojan-downloader.win32.pif.us”有一些關於它的信息,其中Google搜索結果是您提供的Microsoft超鏈接。所以,看來你已經找到了檢查的路徑。

最後,由於確定某些事物是否真的是惡意的過程是做出一個不完全自動化的決定,最終你必須做出自己的決定。

更新: 我現在看到你的更新。 (我不知道我之前是怎麼想的。)我看到你也發現了VirusTotal。好吧,看起來你找到了正確的方法。考慮一下我的回答是對你做正確事情的信任投票。考慮自己滿意。或者,如果你不能這樣做,可以更多地使用它,了解Windows快捷方式的確切格式,並檢查十六進制編輯器中的每個字節。


2
2018-04-26 12:42



謝謝。 VirusTotal非常有用,因為您可以看到多個病毒掃描程序正在“思考”。看到卡巴斯基在網站上提出與本地掃描完全相同的警報(並且所有其他人都沒有檢測到任何內容)是有幫助的。我很欣賞掃描儀必須使用啟發式方法來檢測威脅,否則它們會太慢而無法實時使用。但即使是聰明的經驗法則偶爾會失敗並給出誤報或未能發現真正的威脅。這就是生活。 - AlainD