说明:
本文章依据内容为B站UP主@epcdiy 发布的视频《独家解密火绒误杀win10系统文件背后的真相》,本文章内容和图片大多参考了该视频。
1 | 火绒突然误杀系统程序
就在今年2月上旬,一批Windows10的火绒用户发现在系统更新后,进入系统居然黑屏。同时,有些人发现是火绒安全软件将系统资源管理器(Explorer.exe)视为了木马病毒(HEUR:Trojan/AvKiller.c)进行了删除的防护操作。
随即,火绒发布了官方说明(关于近期explorer误报问题说明),披露了部分细节:
尊敬的火绒用户:
您好,由于火绒误报explorer.exe给您造成的不便我们深感抱歉,该误报为微软补丁更新后触发火绒之前查杀特征导致,涉及系统版本为windows10 22h2 64位和32位,该问题已于2024年1月12日紧急升级病毒库解决,为避免您遇到相同问题,请尽快升级火绒病毒库版本。
并且给出了解决办法。
此次“误报”事件,对火绒的口碑造成了一定的冲击,B站评论区也有不少网友对其表示不满和不信任。
那么,这真的是一次低级的误杀吗?事情可能没这么简单……
2 | B站UP主披露“误杀”细节
就在今天(2月20日),B站UP主@epcdiy 和@边亮_网络安全 发布了联合视频《独家解密火绒误杀win10系统文件背后的真相》,视频披露了这次“误杀”背后的真相。
原来,微软在近期对Window10的部分更新补丁包中更新了资源管理器explorer.exe,如果只是一次普通的更新,一般是不会有什么问题的。但问题就在于这次更新不太普通。
根据UP主视频可以看到,该程序的数字签名来自于微软官方(该签名是不可伪造的)。
随后,UP发现该程序也使用了假的时间戳,时间居然是2085年。这个时间戳原本应该是程序编译的时间,但不知这里为何使用了显然不正常的时间。
不过,据视频评论区@龟龟-_- 勘误,该“伪造时间戳”系乌龙,因为“开了Reproducible build 后,pe时间戳就变成一个hash”。
@边亮_网络安全 逆向分析了这次更新补丁KB5034203中的资源管理器主程序。对该程序进行反汇编可以看到,程序枚举了大量360杀毒软件的进程名,显然是有意针对360杀毒软件的相关逻辑。
同时,UP还发现该程序识别了地区是否为中国(CN),如果是中国则会打点记录ETW日志,监控360杀毒软件的运行情况。
由此可见,该程序对中国用户和360的针对性极强,似乎就是“国区特供版”。
同时,UP还在评论区发布了涉事explorer.exe的样本,表示“均有微软签名,无可抵赖”。但也有网友在下面指出,该逻辑可能是为了“避免在有360的机器上资讯兴趣功能不兼容”。
3 | 系统软件化身“病毒”,误杀难免
看到这里,你可能已经察觉到了微软此次更新的资源管理器中的程序逻辑不太正常,我们回过头来看,火绒所报毒的病毒为:HEUR:Trojan/AvKiller.c,而上面的这些特征正好非常符合AvKiller家族木马。AvKiller有一个显著的特征,就是针对各大知名的杀毒软件的进程进行枚举。
本次更新的explorer.exe从行为上来看跟AvKiller极其相似,站在杀毒软件的视角,很难不说它是一款病毒程序。
说到这里你可能会好奇,既然该软件是针对360的,那么360为什么没有误杀呢?
原来,@边亮_网络安全 早在一月中旬就发现了KB5034203补丁有问题,当时该补丁还没有大规模铺开,为了防止误杀,边亮和他的360团队做了紧急预案,因此360没有大规模出现误杀的情况。
有意思的是,微软自己的杀毒软件Defender也报毒了。
在这种情况下,火绒将该更新的explorer.exe作为病毒进行查杀无可厚非,但由于explorer.exe是Windows系统的重要程序,删除后将严重影响系统的正常使用,因此该事件发生后,不明真相的用户对火绒的信任直线下降。在B站看到一条特别贴切的弹幕——”经典2只大佬打架, 把小弟打死了“😂
截止到该文章发布,火绒还仅是发布了处理办法的公告,可能出于舆论压力,并未披露微软此次更新的相关细节,默默地背着“黑锅”。
然而,该视频发布后,反过来让大量网友对Windows系统甚至微软其他产品的隐私和安全性产生了巨大的怀疑。
2.20晚更新:
下午时原视频被UP主删除,晚上该up发布了动态说明:
对于此事,也有网友表示不同的看法:
目前该事件真相还存疑,希望大家能够理性看待,不盲目评价,等待官方结果。
2.21更新:
2.22更新:
今天,UP发布了新的视频来解释上期视频里的问题:对话微软程序员:资源管理器为什么会监视360