最近我有一台 Windows 10(64 位)PC,Windows Defender 会报告如果发现并(显然)删除了一个“威胁”,它会调用Win32/Tnega!MSR。不幸的是,删除不成功,重新启动机器后,再次弹出相同的消息。然后我用各种防病毒软件构建了一个“Windows PE”USB记忆棒(由c't提供),从那里启动并使用“ESET Online Scanner”执行完整扫描。它发现了 13 个威胁并删除了 12 个,但没有一个被识别为“Tnega!MSR”或其任何变体。但是重新启动后,Windows Defender 消息不再显示,因此看起来 ESET 最终设法消除了威胁。谷歌搜索“Tnega!MSR”并没有真正的帮助,它只返回了上面的微软页面,一个处理消除威胁的论坛帖子,但不包含任何额外的信息,以及通常充斥着关键字的虚假页面。这里有没有人知道其他防病毒软件用于“Tnega!MSR”的别名,或者可以将我指向一个资源,以便我自己找到它?
Windows Defender 发现的特洛伊木马“Win32/Tnega!MSR” - 其他防病毒软件使用的别名?
信息安全
杀毒软件
windows-10
木马
2021-08-15 16:48:12
3个回答
这里有没有人知道其他防病毒软件用于“Tnega!MSR”的别名,或者可以将我指向一个资源,以便我自己找到它?
使用 VirusTotal 网站。
例如,Defender 将其称为“Trojan:Win32/Tnega!MSR”,ESET 将其称为“Win32/RA-based.NJV”等等。
我没有代表对 hft 的回答发表评论,但Process Explorer(来自 Microsoft 拥有的 Sysinternals)可以连接到 VirusTotal 以检查是否有任何正在运行的进程是恶意的。据我所知,它可用于检查 Process Explorer 看到的任何进程。HowToGeek 在这里也有一个相对现代的概述
简短回答:“Tnega!MSR”可能只对实际编写 AV 的人有意义,他们中的一些人试图将恶意软件的名称放入检测中,但是当文件与任何已知的恶意软件模式不匹配时,它可能会被 AV 的其他启发式内部引擎检测为恶意软件,并且检测可以是引擎发现的某种 id。
更长的答案:仅通过查看文件来确定恶意软件的确切名称并不容易(原因从恶意软件作者之间的代码共享到相同加密器的重用),因此,AV 使用的启发式方法可能从“我之前在另一个恶意软件样本中看到过这个 x 字节”到诸如“这个文件似乎有高熵的长序列”之类的东西。有些人可能会共享这些启发式方法,从而共享检测结果,有些人可能不会,有时您可能会看到一个文件被两个不同的 AV 检测为两个不同的恶意软件系列,有时您可能会看到同一文件被不同版本的同样的 AV,长话短说,检测名称并不总是准确的,你不应该总是依赖它们,