事情的真相就是AVIRA跟BD在引擎方面都有問題!
之前我只發現AVIRA跟BD會誤報這個檔案
但後來測了其他的AV,發現有類似問題的數量還不少!以下就是同樣也會誤報的AV:
Asquared :Trojan.Generic
Ikarus:Trojan.Generic
Norman:Trojan Smalltroj.BSXG
Norton:Trojan Horse
QuickHeal:TrojanDownloader.Agent.efy
TheHacker:Trojan/Downloader.Agent.efy
VBA32:infected Trojan-Downloader.Win32.Agent.efy
VirusBuster:Trojan.Agent.DZIW
連Norton都誤報了!
BD的回應是啟發式偵測誤報!
AVIRA則是回應靜態偵測有問題
但只修正誤報,引擎短時間內似乎不會修改!
這是個擁有怪異結構的可執行檔案,某些AV(例如BD)會出現無法UNPack的現象
而AVIRA可以UnPack,但是卻因為靜態分析問題,誤報了自解壓縮檔本身!
這是一個非常很微小的特徵,只要有一叮點不同,AVIRA就不會報了!
只要檔頭或是檔尾加入幾Byte的垃圾資料,就抹去了這個特徵!
因為如此簡單就把特徵給抹去了,讓我誤以為AVIRA跟BD用檔案大小報毒
但事實是AVIRA用檔案大小作首個分析樣本的特徵定義名!
不過也因為這件事情讓我發現,AVIRA對於用戶的上報處裡很差勁!
AVIRA大量啟用機器人處理用戶大量上報的樣本,使得有一些家族性病毒
無法有效的偵測,必須一一上報才可以一個樣本就讓所有的家族一網打盡!
我相信因為這種方式被誤報或者是沒報的樣本不在少數!
雖然AVIRA偵測率高,但它的誤報還有不報的問題也是需要好好探討一下!
對於不喜歡高誤報的朋友,我個人會推薦給你ESET,McAfee,Norton
這三家廠商都有極低的誤報,而且樣本的處裡幾乎全部都由人工分析
降低了因為機器分析而引起的大量誤報問題!
AVIRA有點SOPHOS風格,要那種不怕跳警告的人用起來才自在。但是從累積的情報來看,他們病毒庫的品質實在很糟(大量重複和白名單)……
回覆刪除但是我想這可能也牽涉他們的免費軟體推銷政策造成維護壓力。
只是AVIRA的高偵測率也打出名號很久了,其他重點遲遲不改善,對他們的市場佔有恐怕有害無利。
AVIRA的誤報問題其實存在很久了
回覆刪除不用的人早就不用了,繼續用的人還是得面對誤報問題
我之前曾經提過關於程式釋放的這個行為
有很大的機率AVIRA會報,他AVIRA目前只能靠白名單彌補這個問題!
不過這是引擎的缺陷,白名單也不是特效藥,我其實已經看到因為白名單而導致不報的案例了,只是該發布者還不自知罷了..