V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
KIRAYOMATO
V2EX  ›  信息安全

火绒这是在发什么疯,居然把 Python 给报毒了

  •  
  •   KIRAYOMATO · 362 天前 · 4781 次点击
    这是一个创建于 362 天前的主题,其中的信息可能已经有所发展或是发生改变。

    piLzvwT.png

    16 条回复    2024-01-05 15:19:50 +08:00
    locoz
        1
    locoz  
       362 天前 via Android   ❤️ 11
    为什么就不能是你确实中了毒,感染了 Python 的文件呢?
    pendulum
        2
    pendulum  
       362 天前
    病毒它非得叫 virus.exe 吗?之前确实见过病毒伪装成 python 的
    AoEiuV020JP
        3
    AoEiuV020JP  
       362 天前 via Android
    加密压缩发出来看看呗,
    iNarcissuss
        4
    iNarcissuss  
       362 天前
    去网站 www.virustotal.com 上查一下这个文件,可以输入文件的 md5/sha1 ,如果没找到就把文件传上去,看看世界上其他杀软的检测结果,如果那些著名的杀软都不报毒,说明火绒误报了
    KIRAYOMATO
        5
    KIRAYOMATO  
    OP
       362 天前
    LLaMA2
        6
    LLaMA2  
       362 天前
    检查下你的原始的 python 安装包中的 python311.dll 的 md5 和你这个被处理的 python311.dll 的 md5 是不是一样。不一样的话问题就来了。
    LLaMA2
        7
    LLaMA2  
       362 天前
    https://www.python.org/ftp/python/3.11.1/python-3.11.1-embed-amd64.zip 中 python311.dll 的校验结果



    MD5 a72993488cecd88b3e19487d646f88f6

    SHA1 5d359f4121e0be04a483f9ad1d8203ffc958f9a0


    SHA256 aa1e959dcff75a343b448a797d8a5a041eb03b27565a30f70fd081df7a285038


    SHA512 c895176784b9ac89c9b996c02ec0d0a3f7cd6ebf653a277c20dec104da6a11db084c53dd47c7b6653a448d877ad8e5e79c27db4ea6365ebb8ca2a78aa9c61b38
    HaoyiHan
        8
    HaoyiHan  
       362 天前
    卡巴斯基倒是报过 Node.JS 生成文件的毒,几个月没用了不知道现在修复了没有
    liyongqiang1995
        9
    liyongqiang1995  
       361 天前
    我这也有,完整的日志是这样的

    病毒名称:Trojan/Generic!D909BF3841677271
    病毒 ID:D909BF3841677271
    病毒路径:C:\Python311\python311.dll
    操作类型:执行
    操作结果:已处理,删除文件

    进程 ID:26472
    操作进程:C:\Python311\python.exe
    操作进程命令行:C:\Python311\python.exe -c "import os, os.path, sys; normalize = lambda p: os.path.normcase(os.path.normpath(p)); cwd = normalize(os.getcwd()); orig_sys_path = [p for p in sys.path if p != \"\"]; sys.path[:] = [p for p in sys.path if p != \"\" and normalize(p) != cwd]; import sys, json; json.dump(dict(major=sys.version_info[0], minor=sys.version_info[1]), sys.stdout)"
    父进程:C:\Users\liyon\AppData\Local\Programs\Microsoft VS Code\Code.exe
    cnevil
        10
    cnevil  
       361 天前
    与这个无关,想起来之前有人做测试,python 代码里有 shellcode 字样就被报了毒。。
    估计你这个是做了什么他觉得危险的行为?
    azertim
        11
    azertim  
       361 天前
    你可以去火绒论坛反应啊,他们迭代的速度挺快的
    weijancc
        12
    weijancc  
       361 天前
    这是木马感染了 python 的执行文件, 我之前遇到了一个木马感染了非常多的其他 exe 文件
    leido
        13
    leido  
       360 天前 via Android
    楼主是典型的 360 用户思维,你快别用杀软了
    iNarcissuss
        14
    iNarcissuss  
       360 天前
    @KIRAYOMATO 根据这个截图,应该是火绒误报了,你电脑里的 python311.dll 根本不是病毒,如果你勤快一点,可以通过客服或者其他渠道反馈给火绒,让他们去掉这个误报,等着他们的病毒库更新以后,就不会报毒了,如果懒一点,可以操作一下火绒软件,恢复一下被删掉的 pytho311.dll (一般杀毒软件会把它认为是病毒的文件放到一个暂存区里,以防止误删用户重要文件,让用户可以手动恢复),然后再给那个文件加个白,就不会被火绒再报毒了。我也没装过火绒,具体怎么操作,你摸索一下吧
    sakura6264
        15
    sakura6264  
       360 天前
    提醒下好像楼主 VirusTotal 的截图里所有 hash 跟 7 楼发的都对不上
    BadFox
        16
    BadFox  
       356 天前
    误报概率是有的,但是注入到 dll 里的情况也是有的...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2821 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 15:02 · PVG 23:02 · LAX 07:02 · JFK 10:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.