Ran Kaspersky Rescue 10 semalam dan sistem keluar bersih, kecuali untuk jalan pintas yang tidak jelas (satu di antara ratusan). Kaspersky melaporkan trojan sebagai:
trojan-downloader.win32.pif.xx
dan menurut tautan Microsoft ini , Kaspersky memang bisa menemukan infeksi yang valid. Saya telah dengan hati-hati memeriksa file .lnk di editor biner dan Notepad, dengan tidak ada yang mencurigakan.
Pemindai virus menggunakan berbagai heuristik canggih (seperti hash SHA256) untuk mendeteksi infeksi, tetapi ini rentan terhadap kesalahan positif. Apakah ada cara manual untuk menentukan secara pasti apakah pintasan terinfeksi atau apakah Kaspersky baru saja menemukan kesalahan positif (jarang)?
MEMPERBARUI
aku menemukan ini pemindai online . Setelah mengunggah file .lnk saya, Kaspersky kembali menemukan trojan yang disebutkan di atas ... tetapi 55 pemindai lainnya tidak menemukan apa pun. Pintasan menjalankan perintah ini:
%SystemRoot%\system32\cmd.exe /c start "Send USB" /min /low C:\Batch\SendToUSB.bat
Setelah melakukan satu perubahan sepele untuk menghapus /low dari perintah di atas, setiap pemindai sekarang menunjukkan pintasan sebagai bersih termasuk Kaspersky. Saya juga memindai cmd.exe, file batch itu sendiri dan beberapa cara pintas lainnya dengan perintah serupa. Tidak ada yang terdeteksi.
Dengan tingkat kepercayaan yang tinggi, ini tampaknya salah positif.
sumber
Jawaban:
"False positive" didefinisikan sebagai ketika perangkat lunak anti-malware mendeteksi masalah, tetapi sebenarnya tidak berbahaya. Tidak ada proses langsung langsung yang pasti yang 100% akan mengesampingkan positif palsu. Jika ada, kami akan mengotomatisasi teknik itu, dan menjadikannya bagian dari perangkat lunak anti-malware.
Jadi jawaban untuk pertanyaan Anda,
adalah: hanya satu. Cara itu adalah dengan menganalisis ancaman secara manual, yang Anda katakan Anda lakukan di Notepad. Jika Anda menerapkan keahlian yang memadai (mis., Memahami format file, dan apa yang dapat dilakukan), maka Anda telah melakukan semua yang "pasti" dapat Anda lakukan. Hanya itu yang dapat dilakukan oleh penulis / pakar anti-malware terbaik dunia. Tidak ada hal lain yang lebih "pasti", atau proses sederhana lainnya yang "pasti".
Satu pendekatan yang dapat Anda gunakan adalah untuk memberikan suara. Unggah file ke http://VirusTotal.com dan cepat melihat apa yang dipikirkan anti-malware lain dari file tersebut.
Vendor perangkat lunak anti-malware akan sering menerbitkan informasi lebih lanjut, tentang ancaman yang terdeteksi, di situs web mereka. Mencari "Kaspersky Threat Database membawa saya ke Kaspersky VirusWatchLite, dan kemudian Anda dapat memasukkan" trojan-downloader.win32.pif.xx "ke dalam kotak filter. Ini memberi tahu Anda bahwa Kaspersky menambahkan ancaman pada April 2010. Tidak seperti beberapa ancaman lainnya, ancaman ini tampaknya tidak memiliki hyperlink ke info lebih lanjut.
Atau Anda bisa mencoba mencari "trojan-downloader.win32.pif.xx" di web. Ini menunjukkan kepada saya bahwa "trojan-downloader.win32.pif.us" memiliki beberapa info tentangnya, dengan hasil pencarian Google teratas adalah hyperlink Microsoft yang Anda berikan. Jadi, tampaknya Anda sudah menemukan jalur itu untuk dilihat.
Pada akhirnya, karena proses menentukan apakah sesuatu benar-benar berbahaya adalah membuat keputusan yang tidak sepenuhnya dapat dikontrol secara otomatis, pada akhirnya Anda harus membuat keputusan sendiri.
Memperbarui: Saya sekarang melihat pembaruan Anda. (Saya tidak tahu bagaimana saya melewatkannya sebelumnya.) Saya melihat Anda menemukan VirusTotal juga. Ya, sepertinya Anda menemukan pendekatan yang benar. Anggap jawaban saya sebagai mosi percaya bahwa Anda melakukan hal yang benar. Anggap diri Anda puas. Atau, jika Anda tidak bisa melakukan itu, bermain-main dengannya lagi, belajar tentang format yang tepat dari pintasan Windows, dan memeriksa setiap byte tunggal dalam hex editor.
sumber