关于火绒误报explorer的版本追溯及可能的特征

该用户不存在 · 发表于 2024-2-21 14:30:34

本帖最后由该用户不存在于 2024-2-21 21:29 编辑

经测试可以追溯到火绒5.0内测外泄（病毒库时间2019.05.06）
本来到这里是证实了@www. 在qq群发的火绒在2019年就有相关特征的消息我本来也是打算就停止了

但是在好奇心的驱使下我没想到的是火绒4.0版本（4.0.45.7 病毒库2017.12.19）也可以杀了

所以会不会3.0就有这条特征了呢？

还真是。

（3.0.42.0）
（病毒库时间2016.08.01）
那么我们直接跳到1.0 看还是不是有这条特征（这里出了点意外 1.0的公测0.9是似乎没有查杀的至少没有自定义查杀）

（版本号1.0.38）
我的猜想是正确的
为了减小实验误差我又将虚拟机恢复快照后重新安装1.0仍是如此：
到这里我们就可以明白一个事实那就是火绒的这条特征实际上是远古时期添加的当时的工程师估计没有料到自己在十几年前添加的一条特征再相逢竟是以回旋镖的形式在2024.1.12飞回来
@火绒运营专员去问问你们的工程师心情如何

该用户不存在 · 发表于 2024-2-21 16:35:42

本帖最后由该用户不存在于 2024-2-21 17:32 编辑

huolongguo10 发表于 2024-2-21 15:12
倒不如研究下命中的特征是什么

好了和hijack字符串没关系这是肯定的核心特征可能是360相关进程名和添加注册表启动项的行为刚好explorer后面的代码就有将启动项代码删了就报FakeOSApp而不是AvKiller了应该还包含有其他的特征不然经测试就不生效但是没这个时间去研究了包括在实体机也报了

huolongguo10 · 发表于 2024-2-21 15:12:56

倒不如研究下命中的特征是什么

小桑叶儿 · 发表于 2024-2-21 15:23:48

经测试可以追溯到火绒5.0内测外泄（病毒库时间2021.05.06）

病毒库时间错了，是2019年

该用户不存在 · 发表于 2024-2-21 15:27:51

本帖最后由该用户不存在于 2024-2-22 16:55 编辑

huolongguo10 发表于 2024-2-21 15:12
倒不如研究下命中的特征是什么

我找个时间去研究一下

南国东东 · 发表于 2024-2-21 15:41:35

好奇问问，你是在同一个操作系统运行火绒1.0版么？

haze阴霾 · 发表于 2024-2-21 15:43:02

话说火绒为何一直有这道特征码但最近才出现误杀呢

该用户不存在 · 发表于 2024-2-21 16:01:29

南国东东发表于 2024-2-21 15:41
好奇问问，你是在同一个操作系统运行火绒1.0版么？

昂怎么了吗

南国东东 · 发表于 2024-2-21 16:40:58

该用户不存在发表于 2024-2-21 16:01
昂怎么了吗

你的操作系统版本是？

该用户不存在 · 发表于 2024-2-21 16:43:59

南国东东发表于 2024-2-21 16:40
你的操作系统版本是？

win10

南国东东 · 发表于 2024-2-21 16:56:17

该用户不存在发表于 2024-2-21 16:43
win10

天啊！百度了！很不可思议的软件故障！

huolongguo10 · 发表于 2024-2-23 08:43:01

我看网传（B站）分析的是连续出现四个360进程名，但放到文件中这四个进程名就是紧挨着的……大概360也不会这么干，而病毒检测杀软的时候基本上整个列表循环，一堆杀软进程名连着，由于国内360用的多，那个病毒可能只检测了360并杀掉
倒是没想到启动项和AvKiller有啥关系

huolongguo10 · 发表于 2024-2-24 19:07:01

lz能发个样本（explore）不

文外缪朴奂 · 发表于 2024-2-24 19:16:25

差评发了一个这个https://mp.weixin.qq.com/s/cuaH6VLeulVXO0rTmbm-Kg
我看应该像是最早的版本就能杀，因为行为太像病毒了

该用户不存在 · 发表于 2024-2-24 19:19:18

本帖最后由该用户不存在于 2024-2-24 19:43 编辑

huolongguo10 发表于 2024-2-24 19:07
lz能发个样本（explore）不

楼主能发（）但是被我搞的不成样子了（）
1是我改得报毒的那个样本
2应该也是

[分享] 关于火绒误报explorer的版本追溯及可能的特征

评分

本帖子中包含更多资源