微点交流论坛

标题: 为什么打开IE临时文件夹，不扫毒？ [打印本页]

作者: Linwin 时间: 2007-5-22 11:06 标题: 为什么打开IE临时文件夹，不扫毒？

我打开了C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
在下面发现一个可执行文件，疑为木马类文件，然后使用卡巴5.0扫描文件夹，发现有ANI病毒文件，请问，是微点不扫描这个文件夹的毒，还是我需要上报这些文件？

作者: Linwin 时间: 2007-5-22 11:12
另外一个问题，为什么我用flashget下载病毒文件的过程中，微点报毒，而下载后，再次打开所在文件夹或者移动文件，微点却不报毒？

作者: Legend 时间: 2007-5-22 11:13
微点主要依据程序行为判断病毒的，程序行为符合病毒行为，微点就会拦截并处理，当楼主打开这个文件夹时微点会自动使用已知特征、未知特征和行为分析等多种方式进行分析判断。
楼主可以将这个样本发到virus@micropoint.com.cn，我们测试后给您以邮件的方式回复。

[ Last edited by Legend on 2007-5-22 at 13:46 ]

作者: Legend 时间: 2007-5-22 11:18

Quote:

Originally posted by Linwin at 2007-5-22 11:12:
另外一个问题，为什么我用flashget下载病毒文件的过程中，微点报毒，而下载后，再次打开所在文件夹或者移动文件，微点却不报毒？

请问楼主微点在第一次flashget下载病毒文件的过程中，微点报警，楼主选择的是否删除，是否已经将这个病毒文件从下载的文件夹里删除了这个文件？

作者: Linwin 时间: 2007-5-22 11:20
没有删除，因为卡巴对这个文件也没有报毒，我打算也上报一下卡巴...（不要BS我的行为...只是打算双杀毒上而已...）只是运行的时候，微点报毒，是否删除

作者: Legend 时间: 2007-5-22 11:25
请问微点报的是什么名字？

作者: Linwin 时间: 2007-5-22 11:26
还有，微点能阻止病毒修改系统时间吗？这点，好像目前来说，= =我的卡巴还没有能实现，而且，改了时间后，很麻烦....

还有用卡巴扫描文件夹，的确有 Exploit.win21.IMG-ANI.gen,但是打开文件夹，微点不报毒

作者: Linwin 时间: 2007-5-22 11:28
程序:
C:\DOWNLOADS\病毒\XUIK.EXE
木马程序生成以下文件:
1) C:\PROGRAM FILES\WEB PUBLISH\IDRIVERS.PIF
是否删除木马程序及其衍生物?

报告的是间谍软件

作者: Legend 时间: 2007-5-22 11:41
根据楼主提交的情况，这个样本运行后微点能够拦截，正好符合微点软件判断病毒的原理；楼主说的移动其所在的文件夹，由于微点病毒库中没有这个样本的特征，所以微点在扫描的时候不会报警，这个也正是使用特征值扫描技术的最大隐患，而微点主要是依据程序行为判断病毒的，而病毒库扫描只是辅助功能；如果这个病毒运行后微点拦截楼主选择了删除，微点就会自动提取这个病毒的特征值到本地特征库，如果楼主再次上另一个挂了这个病毒网站，或者将这个样本从微点隔离区恢复后再去试图访问这个病毒时，微点就会使用未知特征库中的特征值立即处理，大大提供效率。

作者: Linwin 时间: 2007-5-22 11:46
那个...能不能给个设置，让我自己设置另外一个文件夹，放置新的本地特征库，然后再设置一个设置，给用户更新本地特征库的？让每次更新微点完毕后，能同步剔除更新已经有的病毒特征，至于是否加入手动更新，我建议加入，有时候，更新后，我需要一定的计算机资源，用来处理一些事
或者你们可以设置本地特征库上传微点服务器，但是这样的话，怕有人恶意上传虚假混乱的本地特征库，这个，你们作为参考吧

另外，微点能阻止ANI病毒吗？我准备想测试一下

作者: Legend 时间: 2007-5-22 12:04
微点每次升级完成后会对本地特征库进行调整，以便于更好的维护用户系统的安全，对于本地特征库微点是自动更新，不提供用户手工更新。
这类病毒微点可以很好的拦截处理。

作者: Linwin 时间: 2007-5-22 12:06
刚刚运行了卡巴显示危险程序Exploit.win32.IMG-ANI.gen的文件，微点没有报警，希望超版能说一下吧...= =让我安心也好，刚刚关了卡巴，运行了那个图文件了，谢谢

作者: Linwin 时间: 2007-5-22 12:10
对于拦截，我能放心，就现在的MP，绝对比国内任何的杀软的拦截能力强了，剩下就是到世界排名中了

另外我提议的本地特征库另外的路径，是因为我和相当一部分人一样，是C盘还原的，而且我的微点是C盘的，所以，重新启动电脑，会没有了的...

作者: Legend 时间: 2007-5-22 12:10

Quote:

Originally posted by Linwin at 2007-5-22 12:06:
刚刚运行了卡巴显示危险程序Exploit.win32.IMG-ANI.gen的文件，微点没有报警，希望超版能说一下吧...= =让我安心也好，刚刚关了卡巴，运行了那个图文件了，谢谢

请将这个程序发到virus@micropoint.com.cn，我们具体测试分析。

作者: Linwin 时间: 2007-5-22 12:19
为了出现什么意外，我整个文件夹打包压缩发送了.......orz...今天的病毒测试之旅，算完成了，下次继续...为了微点...的未来，资金上不能帮忙...尽量软件改进上加油帮忙~

那个文件，我执行了，如果会有什么事，请告诉我如何处理，我的电脑要晚上才重启关机的...谢谢

作者: Linwin 时间: 2007-5-22 12:27
对了，还有一个提议，虽然知道不属于你们的范畴，但是，我想你们增加一个类似下载者监视器的这样的监视功能，并把监视截获做成日志...微点和卡巴豆报毒，所以我没有运行文件，只是看了简介，我把它发上来，给你们作为参考吧

==============宇宙第一小型分割线======================
下载者监视器 V1.0

现在网络上的下载者程序非常之多，这类程序编写容易，体积小巧，
但威力却是不小的。

针对下载者，我写了个反下载者的小程序──“下载者监视器 V1.0”。
这个程序能够监视系统中的下载者程序，当下载者运行的时候，会弹出
提示框，显示下载者本身的路径、欲下载的程序网址以及下载后的保存
位置，然后可以选择是否允许下载者下载。

本程序可以监视无插入进程、DLL插入进程和代码直接插入进程的下载者。
如果是无插入的，直接显示下载者的路径，DLL插入或代码插入的则显示
其插入的进程路径。

在“监视日志”框内双击鼠标可清空日志

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn