运行 Kaspersky Rescue 10 一夜之间,系统恢复正常,除了一个不起眼的快捷方式(数百个快捷方式中的一个)。卡巴斯基报告该木马为:
trojan-downloader.win32.pif.xx
并根据此 Microsoft 链接,卡巴斯基确实发现了有效的感染。我在二进制编辑器和记事本中仔细检查了 .lnk 文件,没有发现任何明显可疑之处。
病毒扫描程序使用各种复杂的启发式方法(例如 SHA256 哈希)来检测感染,但这些方法容易出现误报。是否有任何手动方法可以确定快捷方式是否被感染,或者卡巴斯基是否只是偶然发现了(罕见的)误报?
更新
我找到了这个在线扫描仪上传我的 .lnk 文件后,卡巴斯基再次发现了上述木马……但其他 55 个扫描程序却一无所获。快捷方式正在运行以下命令:
%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat
/low在对上述命令进行简单的删除操作后,每个扫描仪现在都显示快捷方式已清理,包括卡巴斯基。我还扫描了cmd.exe批处理文件本身以及一些其他带有类似命令的快捷方式。没有检测到任何异常。
高度可信地看,这似乎是假阳性。
答案1
“误报”是指反恶意软件检测到问题,但问题实际上并非恶意。没有绝对直接的简单流程可以 100% 排除误报。如果有,我们会自动化该技术,并将其作为反恶意软件的一部分。
所以你的问题的答案是,
“是否有任何手动方法可以明确确定”。
是:只有一种。这种方法就是手动分析威胁,您说这是在记事本中做的。如果您运用了足够的专业知识(例如,了解文件的格式以及它可以做什么),那么您已经做了您“肯定”可以做的一切。这就是世界上最好的反恶意软件作者/专家所能做的一切。没有其他更“明确”的方法,也没有任何其他更简单的“明确”过程。
您可以使用的一种方法是投票。将文件上传到http://VirusTotal.com并快速查看其他反恶意软件对该文件的看法。
反恶意软件供应商通常会在其网站上发布有关检测到的威胁的更多信息。搜索“卡巴斯基威胁数据库”会引导我找到卡巴斯基 VirusWatchLite,然后您可以在过滤框中输入“trojan-downloader.win32.pif.xx”。这会告诉您卡巴斯基在 2010 年 4 月添加了此威胁。与其他一些威胁不同,此威胁似乎没有指向更多信息的超链接。
或者您可以尝试在网络上搜索“trojan-downloader.win32.pif.xx”。结果显示“trojan-downloader.win32.pif.us”有一些相关信息,Google 搜索结果中排在最前面的就是您提供的 Microsoft 超链接。因此,看来您已经找到了要查看的路径。
最后,由于判断某事物是否真的是恶意的这个过程并不是完全自动化的,因此最终您必须自己做出决定。
更新:我现在看到了你的更新。(我不知道我之前怎么会错过它。)我看到你也找到了 VirusTotal。好吧,看起来你找到了正确的方法。把我的回答当作是对你正在做正确事情的信任投票。你应该感到满意。或者,如果你做不到,再多尝试一下,了解 Windows 快捷方式的确切格式,并检查十六进制编辑器中的每个字节。