HMCL icon indicating copy to clipboard operation
HMCL copied to clipboard

Published 20 hours ago verified publisher icon HMCL-dev

HMCL EXE 文件报毒

Open 1a2s3d4f1 opened this issue 5 years ago • 44 comments

Edited by @yushijinhun : 因为 EXE 版 HMCL 打包方式较为特殊,所以可能会引起杀软误报。如果你的 HMCL 是通过官方渠道下载的,则不必担心安全问题。你可以将 HMCL 添加到杀软白名单,或下载不会引起误报的 JAR 版 HMCL。

此问题已被确认,请不要再向此 Issue 添加扫毒报告。我们正在寻找解决误报问题的方法。

HMCL报毒直接怪杀毒软件误报,用jar版本不会报毒(杀毒软件的迷惑操作,openj9的jit部分都报毒)

1a2s3d4f1 avatar Aug 22 '18 16:08 1a2s3d4f1

你所使用的 HMCL-3.1.94.exe 的 SHA-1 值为多少?

yushijinhun avatar Aug 23 '18 00:08 yushijinhun

哪里可以看SHA-1值

1a2s3d4f1 avatar Aug 23 '18 01:08 1a2s3d4f1

@1a2s3d4f1 https://my.oschina.net/yaray/blog/1537235

yushijinhun avatar Aug 23 '18 01:08 yushijinhun

@yushijinhun 报毒的文件https://upload.cc/i1/2018/08/23/8gFeK2.png

HMCL的SHA-1值https://upload.cc/i1/2018/08/23/WpJ6GE.png 现在JAVA似乎坏了

1a2s3d4f1 avatar Aug 23 '18 01:08 1a2s3d4f1

HMCL.exe 是完整的。

但 HMCLauncher.exe 是什么版本的 HMCL?

yushijinhun avatar Aug 23 '18 02:08 yushijinhun

就是HMCL里面的一个文件

1a2s3d4f1 avatar Aug 23 '18 02:08 1a2s3d4f1

还有,你使用的是什么杀毒软件?

yushijinhun avatar Aug 23 '18 02:08 yushijinhun

360 一开始启动报毒,然后扫描java发现java有毒就卸载了java。然后昨天晚上一启动就报毒。 今天早上又不报了

1a2s3d4f1 avatar Aug 23 '18 02:08 1a2s3d4f1

你单独下载一个 HMCL 3.1.94,用 360 扫描,会报毒吗?

顺便请附上扫描报告截图。

yushijinhun avatar Aug 23 '18 05:08 yushijinhun

使用腾讯哈勃分析系统比较好一些。

ExDragine avatar Aug 23 '18 05:08 ExDragine

腾讯哈勃没有报毒。

yushijinhun avatar Aug 23 '18 07:08 yushijinhun

https://upload.cc/i1/2018/08/23/1y6Mzl.png https://upload.cc/i1/2018/08/23/QBItGr.png 昨天晚上到GitHub下载报毒。 今天就没事了

1a2s3d4f1 avatar Aug 23 '18 07:08 1a2s3d4f1

@yushijinhun @huanghongxun 通过这个issue希望作者能在下载页公布SHA和MD5值方便查验。

aisuneko avatar Aug 23 '18 11:08 aisuneko

在 CI 可以找到文件的 SHA-1(那些 .sha1 结尾的文件):https://ci.huangyuhui.net/job/HMCL/

HMCL 在自动更新时首先会对文件进行 SHA-1 校验,然后对 JAR 中内容进行数字签名校验,因此自动更新是不可能发生被篡改的情况的。

yushijinhun avatar Aug 23 '18 12:08 yushijinhun

@yushijinhun 现在有报毒了,然而SHA-1值没有发生改变

Microsoft Windows [版本 6.1.7601]
版权所有 (c) 2009 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>certutil -hashfile E:\MC1.10.2\HMCL-3.1.94.exe SHA1
SHA1 哈希(文件 E:\MC1.10.2\HMCL-3.1.94.exe):
b3 d7 0d 58 0b e7 6e 72 13 33 ef 41 6d 2c dd d4 d6 9f 3d 8e
CertUtil: -hashfile 命令成功完成。

C:\Users\Administrator>

现在JDK也报毒。 https://upload.cc/i1/2018/08/23/Cz2w1M.png

https://upload.cc/i1/2018/08/23/2ViZzx.png 难道HMCL里有后门? 一到晚上就报毒

1a2s3d4f1 avatar Aug 23 '18 13:08 1a2s3d4f1

94之前的版本呢,比如93,会不会误报?

yushijinhun avatar Aug 23 '18 13:08 yushijinhun

你重装了JDK?

huanghongxun avatar Aug 23 '18 13:08 huanghongxun

我检查了版本发布的所有流程,可以确定你下载到的版本就是从代码库中构建出来的,中间没有经过任何篡改。因此,我更倾向于这是误报

HMCL.exe 是在 HMCL.jar 文件头部添加一个 HMCLauncher.exe 产生的,也就是说其内容是一个 EXE + ZIP。如果说真的有毒,那就是上传到代码库中的 EXE 被感染了,而该 EXE 最后一次修改是在 3a294e354acc1ebccd8be1c1ae55ecb3a83173dd。

yushijinhun avatar Aug 23 '18 14:08 yushijinhun

@yushijinhun 94以前的版本晚上不报毒。报毒就是到晚上就开始报毒,然后JDK也报毒 是卸载了重装jdk 好像不只我误报

1a2s3d4f1 avatar Aug 23 '18 14:08 1a2s3d4f1

我可以 100% 确定是 360 误报。

yushijinhun avatar Aug 23 '18 14:08 yushijinhun

jdk也是误报吗? 94版本的误报率好高

1a2s3d4f1 avatar Aug 23 '18 14:08 1a2s3d4f1

样本已经提交给垃圾三鹿灵了。保持此 issue 打开以追踪问题解决进程。

yushijinhun avatar Aug 23 '18 15:08 yushijinhun

连JDK也报毒也是够了

1a2s3d4f1 avatar Aug 23 '18 15:08 1a2s3d4f1

@yushijinhun 本地下载被Avira 查杀,这里给出VirusTotal的扫描结果 ScanResult

这是我本地的扫描结果 image

fubuki-is-cat avatar Aug 24 '18 12:08 fubuki-is-cat

https://habo.qq.com/file/showdetail?md5=e5e1b30d2ff8ea5ec00bcc15de87476e&pk=ADwGZl1oB28IOFs%2B 腾讯哈勃的分析结果,没有问题。

http://r.virscan.org/language/zh-cn/report/b6892a97a76a70ed55560dfbb98f41ef 这是大部分主流引擎的报告

ExDragine avatar Aug 24 '18 14:08 ExDragine

mcbbs上有人说win10自带的防火墙都报毒。 目前就94版本容易误报

1a2s3d4f1 avatar Aug 25 '18 15:08 1a2s3d4f1

1.9.7: http://r.virscan.org/report/be246d95f6a3c9a01745d9265b1cf258 2.0.1: http://r.virscan.org/report/9454612daa416cc7f64bdbbb66b63da5 2.0.5: http://r.virscan.org/report/5a48ecdc534b93f43f8785571b48d38e 2.0.7: http://r.virscan.org/report/767029f8af03bde1e5df6b2643bfa739 2.1.2: http://r.virscan.org/report/7de44d4930d9e40f56990b0dfc71b451 2.2.2: http://r.virscan.org/report/d937ac4029e80a861548e183ea6f068c 2.2.8: http://r.virscan.org/report/381f077b8e82ee7ce16b869352d9ee71 2.2.9: http://r.virscan.org/report/569c5da23f4051a53c7fed456dc718f6 2.3.1: http://r.virscan.org/report/c4c62b871022d78b25edc4e439c0f4ea 2.3.3: http://r.virscan.org/report/4ecb0fbd6b8aa073bed34e0675836128 2.3.4: http://r.virscan.org/report/02243046bfbcd028556c4ee07cac04bf 2.3.5.0: http://r.virscan.org/language/zh-cn/report/53df3b0ce5afd2d5a73bdcc28bc3c79a 2.3.5.1: http://r.virscan.org/language/zh-cn/report/9653e6d9aa2cd1dab7546312a6c80f02 2.3.5.4: http://r.virscan.org/report/535909f1884330ef9a5a68da50a17c56 2.3.5.6: http://r.virscan.org/language/zh-cn/report/e68169501384d9ee7662392611feb90a 2.4.0.233: http://r.virscan.org/report/6e27b686e9b4e09fc69efa73bc8bcd34 2.4.1.6: http://r.virscan.org/report/1492bf9c6e11f3d590ad8761dea78386 2.4.1.38: http://r.virscan.org/language/en/report/479b0ed27c253769a1b312a8593e75aa 2.5.1.79: http://r.virscan.org/language/zh-cn/report/4f1e8896a0e9e66d01cdd948085393ec 2.7.9.52: http://r.virscan.org/language/zh-cn/report/065a02df4fb7398a25698d73027bafd0 3.1.64: http://r.virscan.org/language/zh-cn/report/64f729969781c1269478e1fe8fca4576 3.1.77: http://r.virscan.org/language/zh-cn/report/f8a8930b963d5a137df9923226c7ad2b 3.1.89: http://r.virscan.org/language/zh-cn/report/b4fda836a58869c533709f3b2bd258f1 3.1.94: http://r.virscan.org/language/zh-cn/report/b6892a97a76a70ed55560dfbb98f41ef

huanghongxun avatar Aug 26 '18 04:08 huanghongxun

@VinylChloride 误报样本已提交 Avira。

yushijinhun avatar Aug 26 '18 12:08 yushijinhun

吓的我赶紧把Windows卸载了

izern avatar Oct 26 '18 07:10 izern

image 老哥,HMCL-3.1.111 环境Windows 10 1803 Java 191. Trojan:Win32/Zpevdo.A @yushijinhun @huanghongxun

ExDragine avatar Oct 28 '18 00:10 ExDragine