标题: 我的微点为何没有报这个网站？ [打印本页]

---

作者: hccccc     时间: 2009-1-2 22:23    标题: 我的微点为何没有报这个网站？

别人的微点说是报了，我的怎么不报啊，，我用的红伞报了，
关闭红伞后，微点没有报，网页可以打开。然后用红伞扫描下c盘，发现2个文件。和监控中报的是一个文件。
链接：hXXp://***.net/s.asp?k=%CB%C0%C9%F1201%CA%B2%C3%B4%CA%B1%BA%F2%B3%F6

帮忙看下！

微点主动防御软件  预升级
程序版本： 1.2.10580.0169
特征版本： 1.6.967.090102
更新时间： 2009-01-02 16:03:54

avira 免费版。更新到今日。

[ Last edited by Legend on 2009-1-2 at 22:55 ]

---

作者: hccccc     时间: 2009-1-2 22:39
这个网址已经确认挂马了

---

作者: hccccc     时间: 2009-1-2 22:57
刚又试试，
微点反应好慢哦，假死状态，但是最后可以查杀：

木马名称:未知木马
程序:
C:\DOCUMENTS AND SETTINGS\***\LOCAL SETTINGS\TEMP\DEREKEEEE.PIF
是木马程序!
已成功阻止其运行,是否要删除此文件?

但是该目录下，主程序被删除，但是有其他的垃圾存在。

[ Last edited by hccccc on 2009-1-2 at 23:39 ]

---

作者: Legend     时间: 2009-1-2 22:58
谢谢楼主的反馈。

鉴于微点的工作原理，如果木马没有下载成功，或者下载后没有运行起来，微点可能会不报警。

我们将会具体测试分析！

---

作者: hccccc     时间: 2009-1-2 23:44
我主要是不明白为何别人的报，我的开始不报。都是最新版。
后来报了，但是仅仅是报了个主程序，还有相应的垃圾文件，也是同时生成的为何不报。应该都没有运行吧。

---

作者: hccccc     时间: 2009-1-2 23:50
对了，微点报的是DEREKEEEE.PIF文件，位于temp目录下。

avira报的是这个路径（相应浏览器目录下）：
\profile\cache4\opr05GAO
\profile\cache4\opr05GAL

不知道是否同一个文件。

---

作者: Legend     时间: 2009-1-5 15:01
根据我们测试，微点可以报警拦截，如果您其他的安全软件报警，微点就不会报警了，另推荐您单独用微点试下！

---

作者: hccccc     时间: 2009-1-6 19:47
我试了下。
avira和微点同时安装时，avira监控了浏览器的文件夹，所以浏览器下载后立刻报毒，给人的感觉很敏捷。而微点监控的好像是用户的临时文件夹，也许是行为监控的缘故吧，相应的木马文件全部都下载完成了，才报的毒。都可以有效拦截。但是单独安装微点的时候，微点报未知木马，期间有假死的一段时间。而且仅清除木马主程序，不完全，当然木马已经失效了。

---

作者: hccccc     时间: 2009-1-6 20:35
不知是否已经取消了挂马。微点单控，用微点12月1日和30日的版本监控，则打开上述网站时没有任何提示。也没有找到上面挂马成功后的文件。
另，我在3楼做的测试就是用的单独微点监控，是1月2日的版本。

---

作者: zyzjxiao     时间: 2009-1-7 20:46
其他杀软如果使用扫描而报的话当然可以在木马下载过程中就可以报，但基于微点的防毒原理，如果木马没有下载完也就没有运行，所以微点当然没有报了，我想是这样的。

---

作者: hccccc     时间: 2009-1-18 14:43

Quote:

Originally posted by zyzjxiao at 2009-1-7 20:46: 其他杀软如果使用扫描而报的话当然可以在木马下载过程中就可以报，但基于微点的防毒原理，如果木马没有下载完也就没有运行，所以微点当然没有报了，我想是这样的。

这个木马是否运行我不太确定，但是肯定是下载完成了。但是仅仅删除了主程序，有点遗憾。要是能把其它伴随生成的文件也删除了多好。干净嘛。。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn