因为本周发现VirusTotal平台(以下简称VT)的安全扫描存在重大隐患:

如果上传者将病毒文件打包后设置了解压密码,文件提交给VT之后,因为缺少解压密码,VT无法扫描压缩包内文件的安全性而转为只返回压缩包本身是否感染病毒作为结果。

所以如果有人提交了内含病毒的压缩包,页面上的安全评估会显示为“安全”。如果完全依赖VT的报告而自己下载后不做病毒查杀则会有中毒风险。

另外也建议上传者,处于对自己和他人负责的角度,上载到站内的文件尽量不要加密码!避免您因为中毒而不自知,波及他人!

------------------------------------------------

因此这两天紧急做了对应风险提示增强。

1、增加了下载资源是否设置密码的检测。如果压缩包可能存在密码,则安全评估会显示为无效,并进行风险提示(如下图)。此类加密资源,下载后务必先解压再进行病毒扫描,避免遭受损失。

2、新用户上传文件,会在ID旁增加新上传者标识,如下图。如您看到该资源为新发布者上传,因为未经过时间检验,最好下载后着重检查。

近期会检查站上加密压缩包并进行移除密码替换,但是因为站长精力有限,所以这一过程进展将十分缓慢,预计会耗费数月才能完成。

因为功能仓促上线,如上传过程中遇到问题也可跟贴反馈。本贴置顶一周,后锁定处理。