【討論】疑似病毒的檔案KAV不會報喔!

[ㄚ一]

附加檔是一個線上遊戲很多人都會用的加速器外掛
這個檔案目前在PCDVD討論的相當熱烈

原因是有人的線上遊戲人物裝備被盜,質疑KAV的偵測能力
然後用NORTON的線上掃瞄說這外掛是牧馬
不過沒有直接證據顯示裝備被盜跟這加速外掛有關

其他會報的軟體有:
AVAST ANTIVIR NAV2003 NOD32 McAfee8.0i NAV2006(NIS2006?) TrojanHunter BD9 NAV2000

NOD32裡的訊息是
Win32/Agent.NAH trojan

掃不到的有:
F-Secure KAV6&5/KIS MCAFEE10 PCcOfficeScan

今天凌晨我已將該檔案回報給Kaspersky
有兩個回覆結果,一個是大陸官方
"初步看了一下，这个东西可能是一个“天堂游戏加速器”，类似变速齿轮的东西。"

後來是俄羅斯官方說:
Hello.

It's clear.

Sincerely yours,
Pavel Zelensky
Virus analyst

就我所知,這外掛的年代有點久遠了
很多遊戲都把這外掛擋掉了
如果真的是惡意軟體,而且又有人上報
真有威脅性我相信KAV一定會報
但其他很多軟體都有報,我想聽聽看大家的一些看法是如何

[hertw]

用 virustotal 去掃的結果：

[hwwgo]

我認爲這次Kaspersky正確的.
很多安全軟件都會誤報 變速齒輪.

[ㄚ一]

沒錯已經確定是誤報了..

回信內容:
Hello.

It's clear.
Other AV vendors makes false reports on these files.

Sincerely yours,
Pavel Zelensky
Virus analyst

Kaspersky Lab Ltd
Moscow, Russia

來來回回總共問了三次,這回很肯定的跟我說是別家誤報
只是我不懂的是,這加速器已經出蠻久的,怎麼到現在還有那麼多軟體誤報?
還是其實是遊戲商希望防毒軟體廠商這麼做?

[esjustin]

具體來說,有些外掛本身並沒有帶有威脅,只是他會在背景將使用者輸入的帳密傳送出去,有用KIS的人,可以啟動外掛看看,如果說有網路活動,KIS應該會詢問是否放行,有的話就代表可能有類似的輸出資料活動...

BackDoor是會自行開啟連接埠的,可以下載此外掛,進行網路觀察...

[ㄚ一]

那請問有可能此外掛會實際上會傳送封包出去,但是Kaspersky確認為還是沒有威脅性?

PS.我既使開擴展病毒庫掃描,也是一樣的結果

[proll]

看來卡巴的確不負責任
检测到病毒:Trj/HookKey.A 手动扫描 06/08/27 17:31:41 已清毒 路径:\木馬\木馬[Hook.dll]
检测到病毒:Bck/Agent.BJY 手动扫描 06/08/27 17:31:41 已清毒 路径:\木馬\木馬[dtr.dll]


Panda檢測到2只

[ㄚ一]

為了搞清楚事情的真相
我已經上報至賽門鐵克 MCAFEE AVG ANTIVIR AVAST BD 趨勢
等候回音中

[esjustin]

之前就有過類似案例,在下曾經將偷帳密的外掛上送去分析,也回報說沒問題...

[ㄚ一]

請問現在那個外掛抓得到了嗎?

如果真是這樣會不會太誇張了??
還跟我說是其他家誤報...