瑞星卡卡安全论坛

先看看一个瑞星本来可以清除的样本





然后使用upx shell对其进行压缩


再用瑞星进行扫描


可以发现，虽然是扫描到了，但是却处理失败。这是个bug。。。。。。换用其他样本测试依然复现



附：upx压缩/解压缩工具+2个病毒样本。

附件: 附.rar (2013-7-24 19:38:05, 1315.81 K)
该附件被下载次数 1467

用户系统信息：Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0; QQBrowser/7.3.11251.400)

我这里测试都能清除啊。

你需要对其中一个样本压缩以后再查杀，我给你的是没有压缩的

样本已收集。

处理失败的样本暂时无法处理。感谢您对瑞星产品的支持！

尼玛，什么叫无法处理？是正在改进中吗？这明显是个算法的BUG啊……

最新版本可以删除了，请把瑞星升级至最新版本观察。

如果这是个系统文件被感染了，瑞星采用删除方式不是很不妥吗？

1、这两个文件不是系统文件
2、病毒不会这么干

如果一些恶意病毒将系统文件感染后用upx压缩后怎么办

脱壳修复处理起来成本太大了，现在的壳的种类那么多，每个壳版本都有很多，而且脱壳厚修复倒入表、重定位表等都不一样，压缩壳好处理，加密壳就非常麻烦。所以您看到世面上的所有杀毒软件引擎都不会支持脱壳修复的，维护成本太大的。瑞星引擎的脱壳引擎很强大，常见的压缩壳引擎都能都能脱掉，从您加upx后还能报出同一个名称就可以看出，您可以测试下国内其他安全厂商的引擎看看，有些都是不脱壳的。关于您说的感染系统文件后在被加个UPX壳，这种情况是有可能发生的，单是目前还没有大范围的遇见到这种病毒样本，如果真的出现这种病毒，可以针对他使用的加壳软件的种类和版本推出相应的专杀。