首页
社区
课程
招聘
关于V22005314.EPE被误报病毒(木马)的问题
发表于: 2005-5-20 17:20 8783

关于V22005314.EPE被误报病毒(木马)的问题

2005-5-20 17:20
8783
今天在瑞星的技术论坛发贴,希望瑞星的技术人员来解释V22005314.EPE被误报病毒(木马)的事,没想到反应特别快!经过论坛上的悄悄话后QQ联系,以下是对话(隐去对方QQ号码及昵称,在此对瑞星及这位帮我解决问题的朋友表示感谢!):

用户:所有分组(QQ好友)

==================================================
消息组:陌生人(88)
==================================================
消息类型:聊天记录
==================================================

--------------------------------------------------
消息对象:******(******)
--------------------------------------------------
2005-05-20 16:47:51 ******
您好!
我是****.
刚已经确认过了,新版本的瑞星并不会报V22005314.EPE为病毒

2005-05-20 16:48:20  老王
可是就是这几天我的用户这么反应的啊
  

2005-05-20 16:48:36  老王
难道你们已经改过?
  

2005-05-20 16:48:42 ******
我也去您的论坛看了,有图显示我们将V22005314.EPE报成了nethief,我查了库里的记录,已经被取消了

2005-05-20 16:49:08  老王
对了,谢谢你!
  

2005-05-20 16:49:20  老王
好的,我回头问问我的用户
  

2005-05-20 16:49:32 ******
那个应该是17.25之后的几个版本有问题,请您的客户升级到最新版就没问题了

2005-05-20 16:49:50  老王
以前的V1.2003.5.18、V2.2004.8.10、V2.2005.3.12都存在问题
  

2005-05-20 16:50:18  老王
真是这样,就太感谢了
  

2005-05-20 16:50:16 ******
不用谢!发现了误报改正,是我们应该做的.

您请您的客户将瑞星升级到新版本就OK了.[:)]

2005-05-20 16:50:46  老王
好的
  

2005-05-20 16:51:14  老王
以前的版本误报,我通过升级解决了,现在发现最新版也报,我都快没办法了
  

2005-05-20 16:51:13 ******
这样,epe之前的版本的问题,我这里一时没这些文件,如果您再发现问题,可以直接联系我,我们会解决的.

2005-05-20 16:51:29  老王
你们能改正我很高兴
  

2005-05-20 16:51:38  老王
好!
  

2005-05-20 16:51:44  老王
有问题我会联系你!
  

2005-05-20 16:51:38 ******
有错就改是应该的.

2005-05-20 16:51:51  老王
瑞星就是瑞星
  

2005-05-20 16:52:03  老王
木马克星明知错误却不改正,害得我被很多人骂
  

2005-05-20 16:51:58 ******
好的.
给您带来麻烦,还请您原谅!

2005-05-20 16:53:05  老王
有一个外挂用V1.2003.5.18加密了,木马克星提示木马,却将我的邮件分离出来
  

2005-05-20 16:53:57  老王
结果我邮箱尽是骂我的邮件
  

2005-05-20 16:54:55 ******
[:)]

2005-05-20 16:55:34  老王
我想将我们的对话发在论坛上以便澄清一下,你觉得合适吗?
  

2005-05-20 16:55:52  老王
我的论坛和看雪论坛
  

2005-05-20 16:56:21 ******
可以.
不过请把我的QQ号和昵称隐掉可以吗?

2005-05-20 16:56:40  老王
好的
  

2005-05-20 16:56:42  老王
谢谢
  

2005-05-20 16:56:46  老王
互相理解
  

2005-05-20 16:56:52 ******
嗯.

2005-05-20 16:57:06  老王
[:)]
  

2005-05-20 16:58:03 ******
看起来很多木马用了这个,如果您还发现我们对您的其他的版本有误报的话,请联系我,我们会抓紧时间解决.

2005-05-20 16:59:23  老王

  

2005-05-20 16:59:42  老王
以前版本有免费或破解,314版没有
  

2005-05-20 16:59:46 ******
我个人再次向您及您的用户道歉!

2005-05-20 17:00:07  老王
你不必太客气
  

2005-05-20 17:00:16  老王
解决问题就好
  

2005-05-20 17:00:31  老王
希望其他杀毒软件也会象瑞星这样
  

2005-05-20 17:01:14 ******
反病毒软件是来保护用户而不是给用户带来麻烦的,发现错误就得改正.

2005-05-20 17:01:31  老王

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (20)
雪    币: 47147
活跃值: (20445)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
最初由 老王 发布
2005-05-20 16:58:03 ******
看起来很多木马用了这个,如果您还发现我们对您的其他的版本有误报的话,请联系我,我们会抓紧时间解决.
........


呵~~,祸因在此
建议老王加个功能,如被加壳目标是木马则中止加壳。
2005-5-20 17:28
0
雪    币: 133
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
最初由 kanxue 发布


呵~~,祸因在此
建议老王加个功能,如被加壳目标是木马则中止加壳。


如果这也能正确识别,老王不如去做杀毒软件了,销量肯定第一
2005-5-20 17:31
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
关键是EPE的进程隐藏容易招致木马的青睐
2005-5-20 17:38
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
最初由 kanxue 发布


呵~~,祸因在此
建议老王加个功能,如被加壳目标是木马则中止加壳。


看来以后做壳要把瑞星等杀毒软件集成进来,先查毒再加壳。
2005-5-20 17:41
0
雪    币: 556
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
6
我也来灌几句:
先说说老王的壳吧,我始终觉得老王的壳这样做法,会让很多杀毒软件误认为是病毒,你可以解决瑞星,但不可能让其它全部杀毒软件都不误报为病毒,也不可能叫你的客户都用瑞星杀毒软件之类的,不是每个用户都可以很准确的分出是否真的有毒,用这类的anti-debug的方式很容易被病毒和木马类东西利用,如果真的利用到了,恐怕以瑞星现在的杀毒方式,不误报难呀,
我的建议就是用这类的anti-debug的方式,倒不如在代码处理方面走更远点,那样的路应该比现在的方式更为稳定,更为难以破解.修复。

也说说瑞星吧:首先,以下的言语并非对瑞星软件任何的功击.希望杀毒软件都能够走出这片'困境'。
前几天我帮朋友整理机器时,在系统里又发现了一个和我上次差不多的木马程序,我用朋友的正版瑞星(2005 8合1的那种,市场价好像198),更新最新的病毒库,然后查了下,杀毒软件既然没报病毒,听说瑞星的内存杀毒和文件查毒并不一样的,因此运行防火墙,然后运行目标木马,结果还是一样,并没有报是病毒。我今天我又更新了病毒库,再次试也没有查出来,拿来前段时间(差不多半个月了)我自己收集到的传奇木马试了下,还是没有查出来。本人用OD分析过这两个程序,绝对是木马,一个传奇木马,一个灰鸽子(灰鸽子应该是定做的,传奇木马我不清楚是否为定做的),还有一个比较有趣的事,由于瑞星本身设计的问题,只要木马或病毒制造者利用设计漏洞,可以让瑞星在查该木马或病毒时异常终止,也就是说只要以文件类型查毒查到恶意设计的病毒文件,程序就会异常终止(2004-2005刚开始的那几个版本都有这个问题,现在没有这个问题)

试问,如果那个传奇木马和灰鸽子一样,你的隐私或你的重要资料可能已经share了。当然也许你会说,这可能是你去了那些非正规,规模比较小的网站,
其实现在也有部分大中型网站本身是存在木马的,只是杀毒软件本身没有查出来,网管们一般用杀毒软件没查出来也就不会去管(更有的网管别人报告有病毒,竟然说是别人是过份担心),我相信有朋友和我一样遇过这样的事,只是有的人不说出而已.
2005-5-20 18:12
0
雪    币: 274
活跃值: (165)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
前面提到木马克星,这里就再说一下:

因为一个51pywg传神.exe(EncryptPE V1.2003.5.18加密)被木马克星查出木马,并分离出邮件地址wfs@encryptpe.com,不知害得我被多少人骂了,结果在木马克星发贴请求解决居然被删除了,这是跟木马克星的对话(很久以前的了):

用户:所有分组(QQ好友)

==================================================
消息组:我的好友(486)
==================================================
消息类型:聊天记录
==================================================

--------------------------------------------------
消息对象:192285( 木马克星)
--------------------------------------------------
2004-09-20 12:14:29  老王
你好
  

2004-09-20 12:14:46  木马克星
我们想免费用软件
在关于里面给你们10个字的广告如何

2004-09-20 12:16:09  老王
如果这样,我给你加壳,但不给你注册码

  

2004-09-20 12:24:28  木马克星
那算了

2004-09-20 12:25:51  老王
EPE对DELPHI程序能有很强的保护效果
  

2004-09-20 12:45:09  木马克星
我们用免费的

2004-09-20 12:46:06  老王
随意
  

2004-09-20 12:46:37  老王
还麻烦升级后不要提示wfs@encryptpe.com了
  

2004-09-20 12:46:19  木马克星
ok

2004-09-20 12:47:04  老王
谢谢了
  

2004-09-20 12:48:45  老王
如果用EPE免费版,请注意:这是去年的版本,早就有脱壳教程了。
  

2004-09-20 22:34:38  老王
(2004-09-20 12:46:37)    老王
还麻烦升级后不要提示wfs@encryptpe.com了
   
  

2004-09-20 22:37:51  老王
g:\test\51pywg传神.exe 发现木马:trojan0905
g:\test\51pywg传神.exe木马中分离邮件地址:l: wfs@encryptpe.com
扫描完成.
  

2004-09-20 22:38:08  老王
0921版怎么还在提示?
  

2004-10-01 17:06:05  老王
因为木马克星的误报,让我经常收到骂人的邮件
  

2004-10-01 17:07:03  老王
你频繁升级,为什么就不能将这种误报去掉呢?!
要知道,害我不浅啊!你愿意经常被人骂吗?
  

2004-10-01 17:07:16  老王
另外,为什么删我在你论坛发的贴子?
  

请问各位,EncryptPE V1.2003.5.18没有用什么注入、隐藏之类的手段吧?为什么也会这样?!所以V2也不定是什么注入、隐藏的原因。
2005-5-20 18:31
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
8
去掉壳里面email等信息明文
2005-5-20 18:47
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
我不装杀毒软件,如果不小心运行了而已的程序就完蛋了

还好现在的病毒都不那么搞破坏,真是好事
2005-5-20 19:06
0
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
10
可怜的老王。
2005-5-20 19:13
0
雪    币: 245
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
对木马克星和kV2005,我是服了,好好的程序,非报告说有木马……
2005-5-20 19:16
0
雪    币: 133
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
最初由 WiNrOOt 发布
可怜的老王。
2005-5-20 19:16
0
雪    币: 201
活跃值: (141)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
木马克星绝对是垃圾,机器上没有木马,它也会整个发现木马出来吓唬人。。。
2005-5-20 19:44
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
老卡和咖啡怎么办?不过能搞定瑞星已经是一大进步。
2005-5-20 19:50
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
注入技术最早起源木马,不然哪来的源代码,这很正常。
2005-5-20 20:00
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
使用多态注入,可以把杀毒软件玩在摇篮中。
2005-5-20 20:29
0
雪    币: 260
活跃值: (162)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
最初由 鸡蛋壳 发布
注入技术最早起源木马,不然哪来的源代码,这很正常。


注入技术最早起源木马?  是吗?

请问95 96年左右有Win木马吗?  好像在Win95刚刚发行不久 已经有人善用注入技术实现程序功能了
2005-5-21 00:20
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
最初由 vcasm 发布


注入技术最早起源木马? 是吗?

请问95 96年左右有Win木马吗? 好像在Win95刚刚发行不久 已经有人善用注入技术实现程序功能了


科洛一,DOS平台不就有了。呵呵 那个时候表现为驱动,或者常驻程序。
2005-5-21 14:17
0
雪    币: 223
活跃值: (101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
最讨厌往系统目录塞文件的垃圾软件
2005-5-21 17:01
0
雪    币: 260
活跃值: (162)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
20
TSR 技术是DOS普遍的驻留软件的方法 Win注入技术是在候老师那批程序员弄出来的方法,不是谁专门为了制作木马研究出的技术
2005-5-21 23:34
0
雪    币: 202
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
木马克星=垃圾
处理感染文件简单粗暴,不知道他是怎么卖钱了的?
2005-5-22 10:58
0
游客
登录 | 注册 方可回帖
返回
//