出來混,遲早要中槍
8 |
接到MVP demo密報,說我被防毒廠商諾頓列為恐怖份子...
嘿,黑暗執行緒很Nice的,這其中一定是有什麼誤會。
諾頓網站有列出可疑網址,當然要打開追究一下問題所在。在瀏覽器輸入網址,"碰!"一聲,AVG防毒程式再對我開了一槍...
由於防毒軟體攔阻,問題網頁甚至無法完整載入,不過,看到標題大概就知道是怎麼回事了。研究木馬的文章,少不了描述木馬特徵等細節,可能剛好觸發了防毒軟體的比對條件,因而發生誤判。防毒軟體被另一個防毒軟體當成病毒的事,時有所聞,沒想到寫寫木馬文章一樣也會被流彈所傷。
隨手試了一下,將文章中RDS.DataSpace及VMLRender的CLSID部分改為****-****-****,AVG防毒就不再鬼叫了。換句話說,它的判斷條件是"文字內容中出現特定CLSID",這適用絕大部分的正常網站,但對於探討木馬的文章,只要文中一出現"關鍵字",就有黑影閃過就中槍的危險,這也算資安類文章的特有風險,寫木馬病毒分析文章,應該跟當卧底差不多吧! 哈!
最後來個有趣實驗: 有裝AVG防毒的朋友試著Google一下"00C04FC29E36",你會發現,連Google大神都一樣會被抓去關! XD
Comments
# by cyberscorpio
AVAST! 用户表示情绪稳定
# by jhangyu
這判斷方式還真是腦殘啊~
# by laneser
我能理解誤判的機率是存在的, 而且這麼簡單的判斷方法, 未免也太容易誤判了... 問題是, 連辯解的機會都不給 user 也太過份了吧?! 直接槍斃?!
# by Mulder
在google search 00C04FC29E36 .......我的zonealarm IS靜悄悄,沒有任何反應 (不曉得該高興還是要擔心)
# by 小煎
Avira.... ...傘沒開..
# by 小田
KIS 沒開槍..
# by scott
NOD32 Smart Security 4.0 也是惦惦的運作著. google "00C04FC29E36"也沒事.
# by Nicky
google search "00C04FC29E36" 小紅傘個人版沒開+1