ฉันจะเริ่มต้นด้วยข้อมูลจากหน้าเว็บอ้างอิงซึ่งฉันอ้างอิงถึง (คอลัมน์ไม่มีป้ายกำกับดังนั้นฉันจึงใส่ความหมายตามสิ่งที่พวกเขาดูเหมือนว่าพวกเขาอ้างถึง)
ผู้ให้บริการ
ต่อต้านไวรัส: CAT-QuickHeal
Trojan.IGENERIC
ซอฟต์แวร์ป้องกันไวรัส: Cyren
W32 / GenBl.DEAF24C0! Olympus
ผู้
ต่อต้านไวรัส: GData
Win32.Trojan.Agent.2OV2PC ซอฟต์แวร์
ต่อต้านไวรัส: Ikarus
Trojan.Win32.Agent
ผู้จัดจำหน่าย AntiVirus:
มัลแวร์ที่เพิ่มขึ้นกำหนดไว้! 8.C (CLOUD)
ซอฟต์แวร์ต่อต้านไวรัส: TrendMicro-HouseCall
Suspicious_GEN.F47V0716
เมื่อคุณพบบางสิ่งที่ถูกตั้งค่าสถานะสิ่งต่อไปที่ควรตรวจสอบคือ "ทำไมจึงถูกตั้งค่าสถานะ" ดังนั้นเริ่มถามแต่ละคน
สำหรับ CAT-QuickHeal's ดูเหมือนว่าจะติดป้าย softare เป็น Trojan (ย่อมาจาก "Trojan Horse" ตั้งชื่อตามกับดักที่มีชื่อเสียงและใช้ในอุตสาหกรรม Computer Security เพื่ออ้างถึงซอฟต์แวร์ที่ทำหน้าที่เหมือนทำสิ่งหนึ่ง แต่มี วัตถุประสงค์ที่น่ากลัวมาก) และมันมีตระกูล Trojan Horse ชนิดใด? IGeneric บางทีฉันหมายถึงอินเทอร์เน็ต
W32 / GenBl.DEAF24C0! Olympus ดูเฉพาะเจาะจงมากขึ้นดังนั้นฉันจึงใช้มันเป็นสตริงการค้นหา
อีกเว็บไซต์ทั่วไป (หมายถึงไม่ผูกติดกับผู้ขายเพียงรายเดียว), CVED รายละเอียด, หลังจากไปที่แหล่งข้อมูลช่องโหว่ความปลอดภัยขั้นสูงสุดของ CAT-QuickHealฉันค้นหา W32 / GenBl.DEAF24C0! Olympus หรือรูปแบบอื่น ๆ แต่ไม่พบเรื่องใดเลย
"DEAF24C0" ประกอบด้วยเลขฐานสิบหกทั้งหมด ตอนแรกฉันคิดว่านั่นอาจเป็นคำที่มีความหมาย แต่หลังจากนั้นไม่นานฉันก็เริ่มคิดว่ามันเป็นเลขฐานสิบหก (ซึ่งเพิ่งเกิดขึ้นเมื่อเริ่มต้นด้วยคำว่า "คนหูหนวก") ฉันเริ่มเชื่อมากขึ้นเมื่อฉันสังเกตเห็นแท็บ "รายละเอียด" ของ VirusTotal แสดง MD5 ที่ขึ้นต้นด้วย deaf24c0 ดังนั้น deaf24c0 จึงเป็น 8 "หลัก" แรกของแฮช MD5
ในทางกลับกันการค้นหาโดย Google สำหรับ GenBL Olympusดูเหมือนจะแสดงให้เห็นถึงความหลากหลายและไม่มีใครรู้ว่ามันทำอะไร
เราเห็นว่า GData ถือว่านี่เป็นโทรจัน Win32 (Microsoft ที่รองรับแพลตฟอร์ม Microsoft Windows 32 บิต) Agent (โปรแกรมที่มีเจตนาปลอม) Agent (ซอฟต์แวร์ที่ทำงานในพื้นหลัง) นั่นเป็นวลีทั่วไปที่ทำให้เกิดเสียงมากมาย 2OV2PC ที่เฉพาะเจาะจงที่สุดไม่ได้แสดงผลการค้นหาใด ๆ
สารานุกรมภัยคุกคามของ TrendMicro ไม่แสดงอะไรเลยสำหรับ F47V0716
นอกจากนี้เรายังสามารถตรวจสอบรายละเอียดอื่น ๆ ได้จาก VirtusTotal
แท็บพฤติกรรมจากไฟล์นี้แสดงให้เห็นว่ามันจะสร้างไฟล์ชั่วคราวบางรันรหัส (aka เริ่มโปรแกรม) ในแฟ้มที่มีชื่อไฟล์ที่ลงท้ายด้วย .tmp (ดู: "กระบวนการสร้าง" ส่วน) และใช้ innocallback.dll รวม
innocallback.dll แนะนำให้ฉันใช้งาน InnoSetup โปรแกรมที่ทำให้ผู้ติดตั้ง นี่คือการเสริมโดยไปที่แท็บรายละเอียดของการค้นหานี้และเห็นการมีส่วนร่วม 76.6% ของ "ตัวติดตั้ง Inno Setup" แท็บ dDetails แสดงความคิดเห็นของ "การติดตั้งนี้ถูกสร้างขึ้นด้วย Inno Setup"
ดังนั้นจากทั้งหมดข้างต้นฉันถึงข้อสรุปที่ไม่สิ้นสุด (ซึ่งฉันเปลี่ยนใจ) ว่าซอฟต์แวร์นี้ดูเหมือนว่าอาจจะ "ปลอดภัย" ตามมาตรฐาน "ปลอดภัย" ของฉัน ซอฟต์แวร์ป้องกันไวรัสบางตัวอาจคิดว่านี่เป็น "แอดแวร์" แต่ฉันไม่ได้กังวลเป็นพิเศษหากฉันเห็นโฆษณา นี่อาจเป็นเพียงซอฟต์แวร์บางอย่างที่เกี่ยวข้องเมื่อตัวติดตั้งทำงานเนื่องจากตัวติดตั้งมักจะทำสิ่งต่าง ๆ เช่นทิ้งไฟล์ไว้เบื้องหลังและอาจลงทะเบียนไฟล์ DLL หรือการกระทำอื่น ๆ ที่ต้องใช้สิทธิ์ระดับผู้ดูแลระบบ
อย่างไรก็ตามฉันเฝ้าดูอยู่ตลอดเวลาจากนั้นสังเกตรายละเอียดบางอย่างที่อธิบายว่าทำไมฉันจึงหยุดเชื่อถือโปรแกรมนี้ รายละเอียดเหล่านี้พบได้ในแท็บรายละเอียดของการค้นหานี้ ฉันจะเริ่มด้วยการให้รายละเอียดที่ฉันคิดว่าน่าสนใจที่สุด:
- ขนาดไฟล์ 3.92 MB
- เวลาที่สร้าง 2012-10-02 05:04:04
- พบกันครั้งแรกในป่า 2010-11-20 23:29:33
- Packers: F-PROT INNO ต่อท้าย
- ลิขสิทธิ์ FitGirl
- คำอธิบาย Wolfenstein II Setup
- ทรัพยากรที่มีอยู่: 9 Neutral, 5 จีนตัวย่อ, 3 US English
ตกลงนี่คือเหตุผลที่ฉันเห็นประเด็นปัญหานี้
ก่อนอื่นทำไมโปรแกรมนี้ถึงเห็นในปี 2010 แต่รายงานเวลาการสร้างของปี 2012
ความจริงที่ว่าดูเหมือนว่าจะมีองค์ประกอบจีนบางอย่างที่น่าสงสัยเว้นแต่จะมีคำอธิบายบางอย่าง หากซอฟต์แวร์นี้เกี่ยวข้องกับการค้าระหว่างประเทศบางประเภทที่เกี่ยวข้องกับประเทศจีนนั่นอาจทำให้เข้าใจได้ หากนี่เป็นโปรแกรมที่เพิ่งดาวน์โหลดจากอินเทอร์เน็ตฉันจะระมัดระวังให้มากขึ้น ฉันเปิดกว้างพอที่จะให้โอกาสผู้คนทั่วโลกและฉันชอบที่จะให้ธุรกิจในประเทศจีนเพื่อให้เรามีเหตุจูงใจที่จะรักษาความสัมพันธ์ที่เป็นมิตรกับพวกเขาและฉันรู้ว่าสิ่งที่ฉันใช้ถูกผลิตขึ้นมา ในประเทศจีน. แต่ถึงอย่างนั้นเมื่อฉันเห็นว่าการมีส่วนร่วมของจีนในอินเทอร์เน็ตฉันพบว่าบ่อยครั้งกว่านั้นไม่เกี่ยวข้องกับการโจมตีทางไซเบอร์การหลอกลวงหรือสิ่งที่ไม่พึงประสงค์อื่น ๆ
บางทีอาจเป็นการกล่าวโทษที่สุดก็ระบุว่าตนเองเป็น "Wolfenstein II Setup" ตอนนี้ฉันกลายเป็นนักเล่นเกมในเวลาที่ Castle Wolfenstein ขาย ผลสืบเนื่องที่เผยแพร่ในปี 1984 Beyond Castle Wolfenstein มีลักษณะเหมือนสามารถดาวน์โหลดได้ในประมาณ 52 KB-55 KB หากเป็นกรณีนี้ทำไมไฟล์นี้ถึงเกือบ 4,000 KB หรือบางทีนี่อาจหมายถึงการกลับไปสู่ Castle Wolfenstein ซึ่งมีขนาดประมาณ 36,000 KB หรือ perahps นี่หมายความว่าเป็น Wolfenstein II: The New Colossus รุ่นใหม่ที่วางจำหน่ายในปี 2560 ซึ่งต้องการพื้นที่ว่าง 27,000,000 KB ( NintendoLife: Wolfenstein 2 ) ในกรณีเหล่านี้ไม่มีขนาดไฟล์ 3.92MB เหมาะสมนักเว้นแต่ว่าจะมีอีมูเลเตอร์หรือตัวดาวน์โหลด ในกรณีเช่นนี้ฉันจะรู้สึกสะดวกสบายมากขึ้นเพียงแค่ดาวน์โหลดไฟล์ที่มีประโยชน์โดยตรง
ทำไมตัวติดตั้งนี้จึงแจกจ่ายโดย "FitGirl" แทนซอฟต์แวร์ MUSE, "id Software", Bethesda หรือ Activision สิ่งนี้ไม่เหมือนตัวแทนจำหน่ายซอฟต์แวร์ที่เกี่ยวข้องกับซอฟต์แวร์ Wolfenstein ดั้งเดิมหรือ บริษัท ซอฟต์แวร์รายใหญ่ในปัจจุบันที่เกี่ยวข้องกับชื่อ Wolfenstein
ดูเหมือนว่ากรณีสถานการณ์ที่ดีที่สุดคุณน่าจะดูไฟล์ที่ละเมิดลิขสิทธิ์ โดยเฉพาะอย่างยิ่งหากไฟล์นี้มีไว้สำหรับใช้ในธุรกิจที่ถูกมองว่าเป็นสิ่งที่ไม่รุนแรง (แม้จะเพิกเฉยต่อความคิดที่ว่าซอฟต์แวร์ความบันเทิงอาจถูกพิจารณาว่าไม่เหมาะสมสำหรับธุรกิจจำนวนมาก) นั่นเป็นสถานการณ์กรณีที่ดีที่สุด หากเราไม่ได้จัดการกับสถานการณ์กรณีที่ดีที่สุดเราอาจต้องจัดการกับคนที่ทำสิ่งที่ทำให้เข้าใจผิด ไม่ว่าในกรณีใดฉันไม่คิดว่ามันจะดูดี / ปลอดภัย / แนะนำ
ตอนนี้เพื่อตอบคำถามของคุณเกี่ยวกับซอฟต์แวร์ไวรัสต่าง ๆ ที่รายงานสิ่งต่าง ๆ สิ่งนี้เป็นที่รู้จักกันโดยทั่วไป หลายสิ่งที่เกิดขึ้นระหว่างการตรวจจับมัลแวร์ขึ้นอยู่กับปัญหาที่ทราบและรู้จักกันก่อนหน้านี้หรือการคาดเดาที่ดีที่สุดตามพฤติกรรมของซอฟต์แวร์
ซอฟต์แวร์ป้องกันไวรัสตายแล้วผู้เชี่ยวชาญด้านความปลอดภัยของไซแมนเทคกล่าวว่า "หัวหน้าฝ่ายข้อมูลของนักพัฒนา Norton กล่าวว่าซอฟต์แวร์โดยทั่วไปคิดถึงการโจมตีถึง 55%"
Wired.com: Mikko Hypponen (ของ F-Secure): ทำไม Antivirus บริษัท เช่นเหมืองแร่ไม่สามารถจับเปลวไฟและ Stuxnetกล่าวถึง
“ สิ่งนี้หมายความว่าเราทุกคนพลาดการตรวจจับมัลแวร์นี้เป็นเวลาสองปีหรือมากกว่านั้น นั่นเป็นความล้มเหลวที่งดงามสำหรับ บริษัท ของเราและสำหรับอุตสาหกรรมแอนติไวรัสโดยทั่วไป”
“ นี่ไม่ใช่ครั้งแรกที่สิ่งนี้เกิดขึ้นเช่นกัน Stuxnet ตรวจไม่พบมานานกว่าหนึ่งปีหลังจากที่มันถูกปล่อยออกมาในป่าและถูกค้นพบหลังจาก บริษัท แอนตี้ไวรัสในเบลารุสถูกเรียกให้เข้าไปดูเครื่องจักรในอิหร่าน”
“ เรื่องราวนี้ไม่ได้จบลงด้วยเปลวไฟ เป็นไปได้สูงว่ามีการโจมตีอื่น ๆ ที่คล้ายกันซึ่งเราไม่ได้ตรวจพบ พูดง่ายๆก็คืองานเหล่านี้”
“ Flame เป็นความล้มเหลวของอุตสาหกรรมแอนติไวรัส เราน่าจะทำได้ดีกว่านี้ แต่เราทำไม่ได้ เราอยู่นอกลีกในเกมของเราเอง”
ดังนั้นเข้าใจว่าในขณะที่ผลิตภัณฑ์ซอฟต์แวร์เหล่านี้พยายามสร้างความอุ่นใจ แต่ความจริงก็คือพวกเขาไม่สามารถจะเข้าใจผิดได้