接到MVP demo密報,說我被防毒廠商諾頓列為恐怖份子...

嘿,黑暗執行緒很Nice的,這其中一定是有什麼誤會。

諾頓網站有列出可疑網址,當然要打開追究一下問題所在。在瀏覽器輸入網址,"碰!"一聲,AVG防毒程式再對我開了一槍...

由於防毒軟體攔阻,問題網頁甚至無法完整載入,不過,看到標題大概就知道是怎麼回事了。研究木馬的文章,少不了描述木馬特徵等細節,可能剛好觸發了防毒軟體的比對條件,因而發生誤判。防毒軟體被另一個防毒軟體當成病毒的事,時有所聞,沒想到寫寫木馬文章一樣也會被流彈所傷。

隨手試了一下,將文章中RDS.DataSpace及VMLRender的CLSID部分改為****-****-****,AVG防毒就不再鬼叫了。換句話說,它的判斷條件是"文字內容中出現特定CLSID",這適用絕大部分的正常網站,但對於探討木馬的文章,只要文中一出現"關鍵字",就有黑影閃過就中槍的危險,這也算資安類文章的特有風險,寫木馬病毒分析文章,應該跟當卧底差不多吧! 哈!

最後來個有趣實驗: 有裝AVG防毒的朋友試著Google一下"00C04FC29E36",你會發現,連Google大神都一樣會被抓去關! XD


Comments

# by cyberscorpio

AVAST! 用户表示情绪稳定

# by jhangyu 

這判斷方式還真是腦殘啊~

# by laneser

我能理解誤判的機率是存在的, 而且這麼簡單的判斷方法, 未免也太容易誤判了... 問題是, 連辯解的機會都不給 user 也太過份了吧?! 直接槍斃?!

# by Mulder

在google search 00C04FC29E36 .......我的zonealarm IS靜悄悄,沒有任何反應 (不曉得該高興還是要擔心)

# by 小煎

Avira.... ...傘沒開..

# by 小田

KIS 沒開槍..

# by scott

NOD32 Smart Security 4.0 也是惦惦的運作著. google "00C04FC29E36"也沒事.

# by Nicky

google search "00C04FC29E36" 小紅傘個人版沒開+1

Post a comment