瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 无聊的我与两位粗心的瑞星工程师!【原创】

12   1  /  2  页   跳转

无聊的我与两位粗心的瑞星工程师!【原创】

收藏
少林老祖
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2005-12-07
  • 来自:
发表于: 2005-12-16 19:21 | 只看楼主 短消息 资料
字号: 1楼

无聊的我与两位粗心的瑞星工程师!【原创】

12月7日,我安装上瑞星2006,然后进行测试。之后改编了一个宏病毒给瑞星发了过去,内容如下:发现“可疑宏病毒”!
对瑞星2006的“未知病毒查杀(已获国家专利,专利号:ZL 01 1
17726.8)”感到极度失望。把瑞星2006查杀的宏病毒“Macro.Cypress”稍微修改,就成了“未知宏病毒”!!!
附:本人把脚本中的Cypress改成Sserpyc

12月10,瑞星公司的CSC025工程师给我回复:我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:Doc1.doc
    病毒名:Backdoor.Rbot.mqm

我顿感惊讶,我的病毒怎么说也不应该是这个名字啊!
再次升级瑞星杀毒软件到最新版本,查杀,依然是“未知宏病毒”

然后,我再次把回复信件打包上报:你好!CSC025工程师!可能是太忙了,你回复错了信件,请查核!
我上报的病毒是宏病毒;而你回复的病毒名称的是PE病毒;再次扫描附件时,依然提示为“未知宏病毒”!
附件为信件记录。

12月12日,瑞星公司的CSC033工程师给我回复:“我们会重新分析并尽快给您回复。”

12月14日,一直没有等到瑞星公司的再次回复,所以又修改了一个病毒上报(Doc2.doc),内容:“再次上报一个经稍微修改的宏病毒!”

12月16日,瑞星工程师CSC033给我回复:我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:Doc2.doc
    病毒名:Exploit.JS.CVE-2005-1790.f

心里又吃了一惊,怎么可能是这病毒名?

再次查杀,12月7日和14日上报的病毒,到现在还是“未知宏病毒”

如有疑问,请与huangbaocai@163.com联系!

最后编辑2005-12-17 12:38:39
分享到:
gototop
 
admax888
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2005-12-15
  • 来自:
发表于: 2005-12-16 19:24 | 短消息 资料
字号: 2楼

年轻人,做人要厚道
gototop
 
小ki
头像
强壮不惑狮
  • 帖子:861
  • 注册: 2003-11-18
  • 来自:
发表于: 2005-12-16 20:31 | 短消息 资料
字号: 3楼

真有此事吗?
gototop
 
飞鸿有信
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2004-05-06
  • 来自:
发表于: 2005-12-16 22:37 | 短消息 资料
字号: 4楼

身怀绝技,总想找个对手切磋,人之常情。
楼主已认识到“无聊”,瑞星的工程师也可以反思一下,互有裨益。
gototop
 
我恨我痴情
头像
强壮不惑狮
  • 帖子:757
  • 注册: 2004-06-02
  • 来自:
发表于: 2005-12-16 22:49 | 短消息 资料
字号: 5楼

哈哈~~
gototop
 
kkkkk222
头像
健康舞勺狮
  • 帖子:296
  • 注册: 2005-01-11
  • 来自:
发表于: 2005-12-16 22:58 | 短消息 资料
字号: 6楼

"年轻人,做人要厚道"的确做人是要厚道,但是有的厂家为什么会对我们这种老百姓不厚道呢??
gototop
 
天下奇才
头像
卡卡巡查
  • 帖子:28107
  • 注册: 2001-11-04
  • 来自:卡卡女性协会
卡卡风雨同舟勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念10温馨圣诞
发表于: 2005-12-16 23:00 | 短消息 资料
字号: 7楼

低级错误哦,我觉得不可思议。

不过呢,作为一个计算机爱好者(我觉得你应该是),不该对所谓的未知病毒查杀感到奇怪,其实暂时没有什么技术能够查杀真正的未知,所谓的“未知”,只是建立在已知框架下的未知罢了。
gototop
 
大头狮子2006
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2005-12-16
  • 来自:
发表于: 2005-12-16 23:10 | 短消息 资料
字号: 8楼

同意楼上说的·没有什么技术能够查杀真正的未知,
gototop
 
少林老祖
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2005-12-07
  • 来自:
发表于: 2005-12-17 10:23 | 只看楼主 短消息 资料
字号: 9楼

曾经于2004年提醒过瑞星,但一直没有改过。
http://forum.ikaka.com/topic.asp?board=28&artid=5025718
本来是不想发到论坛里,能够直接解决就直接解决,但是我由于瑞星工程师的处理不当,想引起瑞星的注意,才发到论坛上的。
我原是论坛中的baocai。但用现在的密码已经登陆不上了,因为当时的密码是五位数的。
gototop
 
靠这么麻烦
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2005-12-17
  • 来自:
发表于: 2005-12-17 11:23 | 短消息 资料
字号: 10楼

引用:
【少林老祖的贴子】12月7日,我安装上瑞星2006,然后进行测试。之后改编了一个宏病毒给瑞星发了过去,内容如下:发现“可疑宏病毒”!
对瑞星2006的“未知病毒查杀(已获国家专利,专利号:ZL 01 1
17726.8)”感到极度失望。把瑞星2006查杀的宏病毒“Macro.Cypress”稍微修改,就成了“未知宏病毒”!!!
附:本人把脚本中的Cypress改成Sserpyc

12月10,瑞星公司的CSC025工程师给我回复:我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:Doc1.doc
    病毒名:Backdoor.Rbot.mqm

我顿感惊讶,我的病毒怎么说也不应该是这个名字啊!
再次升级瑞星杀毒软件到最新版本,查杀,依然是“未知宏病毒”

然后,我再次把回复信件打包上报:你好!CSC025工程师!可能是太忙了,你回复错了信件,请查核!
我上报的病毒是宏病毒;而你回复的病毒名称的是PE病毒;再次扫描附件时,依然提示为“未知宏病毒”!
附件为信件记录。

12月12日,瑞星公司的CSC033工程师给我回复:“我们会重新分析并尽快给您回复。”

12月14日,一直没有等到瑞星公司的再次回复,所以又修改了一个病毒上报(Doc2.doc),内容:“再次上报一个经稍微修改的宏病毒!”

12月16日,瑞星工程师CSC033给我回复:我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:Doc2.doc
    病毒名:Exploit.JS.CVE-2005-1790.f

心里又吃了一惊,怎么可能是这病毒名?

再次查杀,12月7日和14日上报的病毒,到现在还是“未知宏病毒”

如有疑问,请与huangbaocai@163.com联系!


...........................


LZ把宏里的字符串改了,瑞星就报成未知病毒那基本上可以肯定的是,瑞星识别这个病毒时至少使用了lz改动的字串里的一个字符。简单方法可以试出瑞星到底是靠什么串查出这个病毒的,lz有兴趣也可以试试。

  很简单的道理,像我们能认识人一样,程序要认识病毒就需要一些所谓的“特征”。“特征”可以是简单的结构,组成,形为等等抽象而来。
不论什么未知查杀技术,都也是建立在重多的病毒“特征”归纳下。没有完全的未知。道理很简单,你能给出没有对应问题的“答案”嘛?

  同样的对于瑞星查未知宏的方式到底是采用什么样的,偶不清楚,不过同样lz也可以推出来,只要用那个病毒增加,删除一些“杂音”试试。就会有一个大概的答案。


至于后边的病毒名,只能说“汗~~~~~ 工程师果然是粗心了!”
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT