微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » bug汇报(正在分析解决)  

 14  1/2  1  2  > 
作者:
标题: bug汇报(正在分析解决)
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#1  bug汇报(正在分析解决)

测了多支感染型病毒 发现微点的行为识别存在bug

1 病毒源程序包括衍生物都会被微点发现处理  可是有时会遇到丢兵保车 付出系统文件被病毒感染并被微点当衍生物删除的代价  微点报警发现可疑程序试图修改可执行文件 选了阻止也阻止不了  上次的lasses.exe 日本卡通病毒 和今天碰到过微点的黑炸弹末日阴影 (黑炸弹 redcat样本已发)  

2 发现令一个情况很有意思 感谢baidu9833发给我的测试样本redcat :
bootskin_free.exe正常情况不会被删 虽然微点提示它是衍生物 我在微点报警还未作选择删除的时候 打开bootskin_free.exe所在文件夹 这时 微点就会把它认为是有害程序一起删~  
也就是说微点报警未作选择时 我不打开该文件所在文件夹 微点就不会删它  反之则一起处理掉  我感觉这是微点的一个bug 并不是指本地未知特征提取


3 反病毒回复了一张微点报警的图并说明:“微点报警了。”  测试后发现 这里的问题依然存在 http://bbs.micropoint.com.cn/showthread.asp?tid=10808&fpage=2  已知特征报警删除 却没有进行删除

redcat第1次ok
第2次测试  正常文件bootskin_free.exe被微点删除 原因就是我上面说的行为识别的bug 报警时不做选择 同时进入该文件所在文件夹 接着正常文件就会被删除

超版已回复:"提交的问题我们已经了解,正在抓紧时间分析解决。"

[ Last edited by 反黑先锋 on 2007-5-31 at 12:45 ]

附件 1: 1.png (2007-5-29 20:25, 19.68 K,下载次数: 42)


附件 2: sshot-1.png (2007-5-29 20:25, 5.4 K,下载次数: 32)


附件 3: sshot-2.png (2007-5-29 20:25, 26.34 K,下载次数: 54)


附件 4: sshot-3.png (2007-5-29 20:26, 11.61 K,下载次数: 47)


附件 5: sshot-4.png (2007-5-29 20:26, 20.6 K,下载次数: 22)


附件 6: sshot-5.png (2007-5-29 20:26, 27.68 K,下载次数: 52)


附件 7: sshot-6.png (2007-5-29 20:26, 33.45 K,下载次数: 39)


附件 8: sshot-7.png (2007-5-29 20:26, 11.96 K,下载次数: 59)


附件 9: sshot-8.png (2007-5-29 20:27, 101.29 K,下载次数: 68)


附件 10: yun.png (2007-5-29 20:27, 17.92 K,下载次数: 33)


※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-5-29 20:25
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

谢谢您提供的信息,请您将这几个样本发送到virus@micropoint.com.cn中,并附带本帖链接,我们会根据您的描述,具体测试分析!

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-5-29 20:34
查看资料  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#3  

好的 过微点的黑炸弹中午已发  红猫病毒也已发送。

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-5-29 20:35
查看资料  发短消息   编辑帖子
likey
新手上路




积分 39
发帖 39
注册 2007-5-14
来自 河南
#4  

支持一下楼主

※ ※ ※ 本文纯属【likey】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-29 22:15
查看资料  发送邮件  发短消息  QQ   编辑帖子
wkwx
中级用户

新手上路


积分 341
发帖 341
注册 2005-12-4
#5  

楼主说的第一点。我这里天天在发生这种事情。虽然微点提示说阻止成功,但是其实可执行程序已经被感染破坏了。再运行被感染的程序时微点就会把被感染的程序杀掉!

附件 1: wkwx-0006.jpg (2007-5-30 11:26, 86.49 K,下载次数: 48)


※ ※ ※ 本文纯属【wkwx】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-30 11:26
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#6  



  Quote:
Originally posted by wkwx at 2007-5-30 11:26:
楼主说的第一点。我这里天天在发生这种事情。虽然微点提示说阻止成功,但是其实可执行程序已经被感染破坏了。再运行被感染的程序时微点就会把被感染的程序杀掉!

请您将您描述的样本发到virus@micropoint.com.cn,我们具体测试分析。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-5-30 11:31
查看资料  发短消息   编辑帖子
wkwx
中级用户

新手上路


积分 341
发帖 341
注册 2005-12-4
#7  



  Quote:
Originally posted by Legend at 2007-5-30 11:31 AM:


请您将您描述的样本发到virus@micropoint.com.cn,我们具体测试分析。

从我的图片上可以看出是内网,病毒不在本机,现在至只有被感染的一些文件在隔离区里!

※ ※ ※ 本文纯属【wkwx】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-30 11:50
查看资料  发短消息   编辑帖子
反黑先锋
版主

RUNWAY


积分 2901
发帖 2857
注册 2006-6-17
#8  

再补充下 3个问题

1 报警发现可疑程序试图修改可执行文件 有时选了阻止也阻止不了 系统中的可执行程序已经被感染 (如lasses.exe 日本卡通病毒) 如果以传统杀毒软件来做参照 微点的确比他们强多了  虽然牺牲了部分程序 但至少保护了整体利益的安全 不像传统杀软全盘皆输

但如果以主动防御在病毒试图破坏系统时及时阻止处理的角度来看 无疑 微点未成功阻止有害行为   这是微点行为识别可能需要更新的第一个情况


第2问题可以在redcat样本中发现  微点报警后 先不选删除 手动进入被判为衍生物的正常文件路径  然后再选删除  这时你会发现微点回滚出错 正常文件被处理掉了

第3问题上面有的

※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
2007-5-30 12:23
查看资料  发短消息   编辑帖子
wkwx
中级用户

新手上路


积分 341
发帖 341
注册 2005-12-4
#9  

期望微点更加完美!

※ ※ ※ 本文纯属【wkwx】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-5-30 13:13
查看资料  发短消息   编辑帖子
_GreenwaTer_
中级用户




积分 207
发帖 207
注册 2007-2-9
#10  版主们还真辛苦啊



※ ※ ※ 本文纯属【_GreenwaTer_】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[color=red][size=5]精细入微    [color=navy]支 持 国 产[/color]    点点心意[/size][/color]
2007-5-31 09:58
查看资料  发短消息  QQ   编辑帖子
 14  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号