Kaspersky
Solved

KSN 行为引擎对软件安装包报毒,请问如何解决? [ 已解决 / Solved ] [ 已关闭 / Closed ]

  • 17 January 2020
  • 6 replies
  • 274 views

诸位好,

最近发现装有 KES 的某些终端的行为引擎会对以下两个软件安装包报毒,彼时,KSN 显示为“未知”。

今天做了下边两件事之后,KSN 对其中一个显示“信任”:

1、上传至 virustotal.com 分析。

2、通过邮箱上报样本至卡巴斯基。

此外,我们还排查了自身,确认没有问题。

综上,希望能够确认是否为误报?如果是误报,请问如何解除?安装包触发了行为引擎的哪个点导致报毒,怎么避免?

因为“报毒”的现象已经影响到了正常使用,所以希望能够披露足够的情报避免此类事件再次发生。

 

https://dydl.duoyi.com/dyy/win/setup/duoyiyun_Setup_2.5.002.exe

https://dydl.duoyi.com/enterprise/win/yunqiao/pack/yunqiao_Setup_1.0.001.exe

(截图中有哈希,请核对)

 

 


 

icon

Best answer by Leon Jia 21 January 2020, 13:30

View original

This topic has been closed for comments

6 replies

Badge +1

尊敬的用户:

您好!

 

首先我下载了您发的两个链接的文件并做了测试,我的测试环境为win7+KES11.2+20200119的最新病毒库+开启所有保护组件。
我的测试结果是扫描这两个文件都不报警。
但是我发现,yunqiao_Setup_1.0.001.exe 文件的sha256值和您的截图中一致,而duoyiyun_Setup_2.5.002.exe却不一致,具体可以查看附件的截图。

我给您的建议是:

1 检查卡巴斯基的客户端病毒库是否更新到最新?

2 检查duoyiyun_Setup_2.5.002.exe 文件是否是最新?

尊敬的用户:

您好!

 

首先我下载了您发的两个链接的文件并做了测试,我的测试环境为win7+KES11.2+20200119的最新病毒库+开启所有保护组件。
我的测试结果是扫描这两个文件都不报警。
但是我发现,yunqiao_Setup_1.0.001.exe 文件的sha256值和您的截图中一致,而duoyiyun_Setup_2.5.002.exe却不一致,具体可以查看附件的截图。

我给您的建议是:

1 检查卡巴斯基的客户端病毒库是否更新到最新?

2 检查duoyiyun_Setup_2.5.002.exe 文件是否是最新?

 

需要注意的是,静态扫描不会报警,而是在安装过程中报警,即“行为杀”。

1、病毒库是最新,但仍然报警。

2、若是指软件版本的话,那么不是最新,yunqiao_Setup_1.0.001.exe 才是最新。

哈希值确实不同,经查,这是衍生出的另一个问题,与题无关,在此不表。

我重新提供三个安装包,它们的哈希在我们的对话中均有提及,请比对。

压缩包口令 infected

https://bitsend.jp/download/847a5e8b11df76134a73b817ab0a5db6.html

https://bitsend.jp/download/d3736e655c4a7ccb1878d78ad8b04f9d.html

https://bitsend.jp/download/a24eb5a6755663760b49b8c52239500a.html

 

尊敬的用户:

您好!

 

首先我下载了您发的两个链接的文件并做了测试,我的测试环境为win7+KES11.2+20200119的最新病毒库+开启所有保护组件。
我的测试结果是扫描这两个文件都不报警。
但是我发现,yunqiao_Setup_1.0.001.exe 文件的sha256值和您的截图中一致,而duoyiyun_Setup_2.5.002.exe却不一致,具体可以查看附件的截图。

我给您的建议是:

1 检查卡巴斯基的客户端病毒库是否更新到最新?

2 检查duoyiyun_Setup_2.5.002.exe 文件是否是最新?

 

需要注意的是,静态扫描不会报警,而是在安装过程中报警,即“行为杀”。

1、病毒库是最新,但仍然报警。

2、若是指软件版本的话,那么不是最新,yunqiao_Setup_1.0.001.exe 才是最新。

哈希值确实不同,经查,这是衍生出的另一个问题,与题无关,在此不表。

我重新提供三个安装包,它们的哈希在我们的对话中均有提及,请比对。

压缩包口令 infected

https://bitsend.jp/download/847a5e8b11df76134a73b817ab0a5db6.html

https://bitsend.jp/download/d3736e655c4a7ccb1878d78ad8b04f9d.html

https://bitsend.jp/download/a24eb5a6755663760b49b8c52239500a.html

 

这三个安装包都会报警,但不是在所有安装有 KES 的机器上都 100% 报警。

另,经测试,也有几台装有 KFA 的电脑报警(均为个人电脑)。

Badge +1

尊敬的用户:

您好!

你反馈的三个文件包,其中两个duoyiyun安装包我这边测试 单独扫描+安装过程 均不报警。具体的测试视频请您到  https://box.kaspersky.com/d/d1e0d110de684ba2809d/ 来下载并查看。

 

剩下的yunqiao安装包单独扫描不报警,但是在安装过程中被卡巴报警并删除。我已经提交给我们的病毒分析专家来分析了,请您耐心等待结果。有结果我会在本帖第一时间反馈给您,谢谢!

Badge +1

尊敬的用户:

您好!

 

 

经过我们病毒专家的分析,这个报警会在下次更新病毒库时解除。

请您在明天(2020-01-22)更新到当天最新的病毒库再来观察问题能否复现,谢谢!

你反馈的三个文件包,其中两个duoyiyun安装包我这边测试 单独扫描+安装过程 均不报警。Grifus