PCEVA,PC绝对领域,探寻真正的电脑知识
开启左侧

EAV 4竟然报带数字签名的WinRAR.exe是Win32/Rozena.CH特洛伊木马

[复制链接]
红色狂想 发表于 2018-2-26 23:44 | 显示全部楼层 |阅读模式
点击数:14572|回复数:43
从07年至今一直在用ESET NOD32 Antivirus(TM) 4.2.76.1 Business Edition 官方简体中文版(64-bit),虽然这些年也遇到过几次误报,但这次真的是好奇葩啊,官网下载的WinRAR简体32位.exe安装程序,数字签名一切正常,竟然报有Win32/Rozena.CH特洛伊木马,给隔离了。。。

1月份下载下来时还一切正常未报毒,今天一进软件目录就报毒了,难道ESET NOD32的扫描策略是只识别特征码不看数字签名吗?
2018/2/26 16:38:16        文件系统实时防护        文件        E:\Software Resources\WinRAR 32bit.exe        Win32/Rozena.CH 特洛伊木马        通过删除清除        HostName\UserName        尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (5A49D7390EE87519B9D69D3E4AA66CA066CC8255).        211A19CA4EC3C7562C9844FE6C42E66A521B8BD4        2018/1/21 14:03:07
2018/2/26 16:38:16        文件系统实时防护        文件        E:\Software Resources\WinRAR简体32位.exe        Win32/Rozena.CH 特洛伊木马        通过删除清除        HostName\UserName        尝试通过应用程序访问文件时发生事件: C:\Windows\explorer.exe (5A49D7390EE87519B9D69D3E4AA66CA066CC8255).        256FE77CF662F14BBF4A181D911051A4B8C3F9B7        2018/1/21 14:03:14

捕获Win32 Rozena.CH 特洛伊木马(日志文件).PNG

捕获Win32 Rozena.CH 特洛伊木马(隔离).PNG

捕获ESET NOD32 Antivirus(TM) 4.2.76.1 Business Edition 官方简体中文版(64-bit).PNG

捕获WinRAR简体32位.PNG

捕获WinRAR 32bit.PNG
尊称 发表于 2018-2-27 03:56 | 显示全部楼层
本帖最后由 尊称 于 2018-2-27 03:57 编辑

微信截图_20180227035452.png

微信截图_20180227035728.png
一直使用官网的这个,好像更新版本有广告还是什么,从来正常,不管nis还是defender。
gxh5720 发表于 2018-2-27 07:20 | 显示全部楼层
你哪里下载的 很多软件官方的就没问题,去其他平台下载的很多报毒 包括有些知名平台
来自安卓客户端来自安卓客户端
羽落风尘 发表于 2018-2-27 08:30 | 显示全部楼层
现在FLASH官网下载的更新都强制安装2344游戏中心
DoctorX99 发表于 2018-2-27 08:49 | 显示全部楼层
哪里下的?官网应该不会报,第三方难说
来自安卓客户端来自安卓客户端
guangyunjian 发表于 2018-2-27 08:50 | 显示全部楼层
官网两个版本,一个带广告
来自苹果客户端来自苹果客户端
尊称 发表于 2018-2-27 10:11 | 显示全部楼层
guangyunjian 发表于 2018-2-27 08:50
官网两个版本,一个带广告

你说的证实了我的记忆
dongyi945 发表于 2018-2-27 10:33 | 显示全部楼层
正常啊,垃圾广告报病毒没问题。
Pale_Cheung 发表于 2018-2-27 11:46 | 显示全部楼层
羽落风尘 发表于 2018-2-27 08:30
现在FLASH官网下载的更新都强制安装2344游戏中心

下载的时候你没仔细看
Pale_Cheung 发表于 2018-2-27 11:48 | 显示全部楼层
官方下载未必可信,知名终端模拟软件 xshell 官方下载的 文件里就有木马,被别人替换了,自己不知道。

数字证书什么的 也不可信,数字证书管理会出纰漏的。

你这是安装包吧。这种情况,多找点引擎查杀。

官方的中文版有广告的,购买的人要给作者去邮件才能拿到无广告的。
wsy2220 发表于 2018-2-27 12:11 | 显示全部楼层
这证书一看就是假的啊
暴疯狂笑 发表于 2018-2-27 14:44 | 显示全部楼层
jianshe138 发表于 2018-2-27 14:54 | 显示全部楼层
我都用好压....,感觉还不错啊
StormBolt 发表于 2018-2-27 18:27 | 显示全部楼层
ESS 4.2.71用了近10年了,没有此类问题

我比较倾向于“误报,但RAR也不干净”,有另一个无广告的版本,如果用了带广告的,注册了都没用
DoctorX99 发表于 2018-2-27 21:58 | 显示全部楼层
突然想起来ESET貌似有一个选项是潜在不受欢迎软件之类的这个选项,我用的话一般不开,开了误报多,忘了4有没有这个选项了
来自安卓客户端来自安卓客户端
440BX 发表于 2018-2-27 22:30 | 显示全部楼层
我又想起大炮村的软件绑流氓软件的事了
来自苹果客户端来自苹果客户端
红色狂想  楼主| 发表于 2018-2-27 22:48 | 显示全部楼层
尊称 发表于 2018-2-27 03:56
一直使用官网的这个,好像更新版本有广告还是什么,从来正常,不管nis还是defender。
...

嗯,一直都是这样用的,我用5.21,给媳妇用5.20,只是昨天一打开收藏软件的目录nod32就报WinRAR简体32位.exe和WinRAR 32bit.exe这两个安装程序有毒,而同时期官网上下的另外几个就没事儿,可以判定这是误报,现在暂时加白名单等待官方病毒库修正了。。。

捕获Win32 Rozena.CH 特洛伊木马(白名单).PNG
红色狂想  楼主| 发表于 2018-2-27 22:54 | 显示全部楼层
gxh5720 发表于 2018-2-27 07:20
你哪里下载的 很多软件官方的就没问题,去其他平台下载的很多报毒 包括有些知名平台
...

当然是官网啊,软件我只从官网下,国内的那些软件站我开都不敢开,都是本照着能不访问就不访问,有很多页面都是直接挂马的。。。
红色狂想  楼主| 发表于 2018-2-27 23:00 | 显示全部楼层
羽落风尘 发表于 2018-2-27 08:30
现在FLASH官网下载的更新都强制安装2344游戏中心

强制吗?那只能说你习惯了简单粗暴,我隔三差五flash player都会提示有更新,那页面中大大地复选框等着你取消勾选
红色狂想  楼主| 发表于 2018-2-27 23:03 | 显示全部楼层
DoctorX99 发表于 2018-2-27 08:49
哪里下的?官网应该不会报,第三方难说

官网,软件我只从官网下,没有数字签名的我还要VirSCAN.org在线扫描后才能放心。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部