3

Запустил Kaspersky Rescue 10 за ночь, и система вышла из строя, за исключением неясного ярлыка (один из сотен). Kaspersky сообщает о трояне как:

trojan-downloader.win32.pif.xx

и по этой ссылке Microsoft, Kaspersky действительно мог найти действительную инфекцию. Я тщательно проверил файл .lnk в бинарном редакторе и в Блокноте, но ничего явно подозрительного.

Вирусные сканеры используют различные сложные эвристические методы (например, хэши SHA256) для обнаружения инфекций, но они подвержены ложным срабатываниям. Есть ли какой-нибудь ручной способ окончательно определить, заражен ли ярлык, или же Касперский только что наткнулся на (редкий) ложноположительный результат?

ОБНОВИТЬ

Я нашел этот онлайн-сканер. Загрузив мой файл .lnk, Касперский снова обнаружил вышеупомянутый троян ... но 55 других сканеров ничего не нашли. Ярлык выполнял эту команду:

%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat

После внесения одного тривиального изменения удаления /low в приведенной выше команде каждый сканер теперь показывает ярлык как чистый, включая Kaspersky. Я также отсканировал cmd.exe , сам пакетный файл и несколько других ярлыков с подобными командами. Ничего не обнаружено

С высокой степенью уверенности это представляется ложным срабатыванием.

|источник

1 ответ1

2

"Ложноположительный" определяется как случай, когда антивирусное программное обеспечение обнаружило проблему, но на самом деле оно не было вредоносным. Не существует надежного прямого простого процесса, который на 100% исключил бы ложное срабатывание. Если бы это было так, мы бы автоматизировали эту технику и включили бы ее в состав антивирусного программного обеспечения.

Итак, ответ на ваш вопрос,

«Есть ли какой-то ручной способ определить окончательно».

это: только один. Таким образом, вы можете вручную проанализировать угрозу, которую вы сказали в Блокноте. Если вы применили достаточный опыт (например, понимаете формат файла и то, что он может делать), то вы сделали все, что вы можете "определенно" сделать. Это все, что могут сделать лучшие в мире авторы / эксперты по борьбе с вредоносным ПО. Нет ничего более "окончательного" и более простого процесса, "определяющего".

Один из подходов, который вы можете использовать, - это проголосовать. Загрузить файл на http://VirusTotal.com и быстро увидеть, что другие анти-вредоносные программы думают о файле.

Поставщики антивирусного программного обеспечения часто публикуют дополнительную информацию об обнаруженных угрозах на своем веб-сайте. Поиск "Kaspersky Threat Database" привел меня к Kaspersky VirusWatchLite, а затем вы можете ввести "trojan-downloader.win32.pif.xx" в поле фильтра. Это говорит о том, что Касперский добавил угрозу в апреле 2010 года. В отличие от некоторых других угроз, эта угроза не имеет гиперссылки на дополнительную информацию.

Или вы можете попробовать поискать "trojan-downloader.win32.pif.xx" в сети. Это показало мне, что у «trojan-downloader.win32.pif.us» есть некоторая информация об этом, причем верхним результатом поиска Google является предоставленная вами гиперссылка Microsoft. Итак, похоже, вы уже нашли этот путь, чтобы проверить.

В конце концов, поскольку процесс определения того, действительно ли что-то является вредоносным, заключается в принятии решения, которое не является полностью автоматизированным, в конечном итоге вы должны принять собственное решение.

Обновление: теперь я вижу ваше обновление. (Я не знаю, как я пропустил это раньше.) Я вижу, вы также нашли VirusTotal. Ну, похоже, вы находите правильные подходы. Считай, что мой ответ - вотум доверия, что ты поступаешь правильно. Считай, что доволен. Или, если вы не можете этого сделать, поэкспериментируйте с этим, узнав точный формат ярлыка Windows и проверив каждый байт в шестнадцатеричном редакторе.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .