Kaspersky Rescue 10 wurde über Nacht ausgeführt, und das System wurde bis auf eine obskure Verknüpfung (eine unter Hunderten) sauber. Kaspersky meldet den Trojaner als:
trojan-downloader.win32.pif.xx
und nach dieser Microsoft-Link Kaspersky hätte tatsächlich eine gültige Infektion finden können. Ich habe die .lnk-Datei sorgfältig in einem Binäreditor und im Editor überprüft, ohne dass dies offensichtlich verdächtig war.
Virenscanner verwenden verschiedene ausgefeilte Heuristiken (z. B. SHA256-Hashes), um Infektionen zu erkennen. Diese sind jedoch anfällig für falsch positive Ergebnisse. Kann man manuell feststellen, ob die Verknüpfung infiziert ist oder ob Kaspersky gerade auf ein (seltenes) falsches Positiv gestoßen ist?
AKTUALISIEREN
ich habe das gefunden Online-Scanner . Nach dem Hochladen meiner .lnk-Datei hat Kaspersky den oben genannten Trojaner erneut gefunden ... aber 55 andere Scanner haben nichts gefunden. Die Verknüpfung führte diesen Befehl aus:
%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat
Nach einer geringfügigen Änderung des Entfernens /low Ab dem obigen Befehl zeigt jeder Scanner die Verknüpfung jetzt als sauber an, einschließlich Kaspersky. Ich habe auch gescannt cmd.exe, die Batch-Datei selbst und einige andere Verknüpfungen mit ähnlichen Befehlen. Nichts erkannt.
Mit einem hohen Maß an Vertrauen scheint dies ein falsches Positiv zu sein.
quelle
Antworten:
Ein "falsches Positiv" ist definiert als der Zeitpunkt, zu dem die Anti-Malware-Software ein Problem festgestellt hat, das jedoch nicht bösartig war. Es gibt keinen todsicheren direkten einfachen Prozess, der ein falsches Positiv zu 100% ausschließt. Wenn dies der Fall wäre, würden wir diese Technik automatisieren und diesen Teil der Anti-Malware-Software hinzufügen.
Also die Antwort auf Ihre Frage,
ist: nur eine. Auf diese Weise können Sie die Bedrohung, die Sie in Notepad gemeldet haben, manuell analysieren. Wenn Sie über ausreichende Fachkenntnisse verfügen (z. B. das Format der Datei kennen und wissen, was sie kann), haben Sie alles getan, was Sie "definitiv" tun können. Das ist alles, was die weltweit besten Anti-Malware-Autoren / Experten leisten können. Es gibt nichts "Definitiveres" und keinen anderen einfacheren Prozess, der "Definitiveres" ist.
Ein Ansatz, den Sie verwenden können, besteht darin, dies zur Abstimmung zu bringen. Laden Sie die Datei auf hoch http://VirusTotal.com und sehen Sie schnell, was andere Anti-Malware von der Datei hält.
Anbieter von Anti-Malware-Software veröffentlichen häufig weitere Informationen zu erkannten Bedrohungen auf ihrer Website. Die Suche nach "Kaspersky Threat Database" führte mich zu Kaspersky VirusWatchLite. Anschließend können Sie "trojan-downloader.win32.pif.xx" in das Filterfeld eingeben. Dies zeigt, dass Kaspersky die Bedrohung im April 2010 hinzugefügt hat. Diese Bedrohung scheint keinen Hyperlink zu weiteren Informationen zu haben.
Oder suchen Sie im Web nach "trojan-downloader.win32.pif.xx". Dies zeigte mir, dass "trojan-downloader.win32.pif.us" einige Informationen dazu hatte, wobei das oberste Google-Suchergebnis der von Ihnen bereitgestellte Microsoft-Hyperlink war. Anscheinend haben Sie diesen Pfad bereits zum Auschecken gefunden.
Letztendlich müssen Sie, da der Prozess der Feststellung, ob etwas tatsächlich bösartig ist, eine Entscheidung trifft, die nicht vollständig automatisierbar ist, letztendlich Ihre eigene Entscheidung treffen.
Aktualisieren: Ich sehe jetzt dein Update. (Ich weiß nicht, wie ich es verpasst habe.) Wie ich sehe, haben Sie auch VirusTotal gefunden. Nun, es sieht so aus, als ob Sie die richtigen Ansätze finden. Betrachten Sie meine Antwort als Vertrauensbeweis, dass Sie die richtigen Dinge tun. Betrachten Sie sich als zufrieden. Oder, wenn Sie das nicht können, spielen Sie weiter damit, lernen Sie das genaue Format einer Windows-Verknüpfung kennen und überprüfen Sie jedes einzelne Byte in einem Hex-Editor.
quelle