瑞星工程师13 - 2009-4-15 17:45:00
4月15日,部分瑞星用户在更新微软公司提供的09年4月份的补丁程序时,遇到如下情况:在微软补丁程序KB956572运行后,瑞星杀毒软件、瑞星全功能安全软件的“智能主动防御”模块会提示拦截信息。
请广大用户选择“允许”,即可顺利安装该补丁程序。
为何瑞星会在此时弹出提示窗口在安装这个微软补丁的过程中,有修改系统文件services.exe等类似病毒的行为,因而瑞星会弹出窗口提示用户。该拦截信息并非瑞星产品的误报或者BUG,而是瑞星主动防御的正常提示。瑞星“智能主动防御”模块(其中的“系统加固”-“系统 文件保护”规则)会对重要的系统文件加以保护,以阻止盗号木马和其它病毒修改系统文件,攻击用户电脑、窃取隐私信息。
有许多病毒具有类似此次微软补丁的行为,譬如后门病毒Backdoor.Win32.Small.tf,它运行后会修改系统文件services.exe,瑞星主动防御发现其行为时进行拦截,就可以避免系统文件services.exe被恶意修改。如果不进行拦截,该病毒运行成功后,会给系统开后门,并下载大量木马到电脑中,可能造成用户电脑中的信息被窃取等严重后果。
瑞星产品的拦截措施,是基于行为来判断的,无论木马病毒还是商业软件,只要触犯这些行为规则,譬如修改系统文件等等,就会被拦截,是否放行则由用户自己来判断。如果遇到类似微软补丁的行为,瑞星产品会弹出泡泡提示用户如何操作,保证补丁程序的顺利安装。
为何不把微软补丁程序加入“白名单”来解决问题
如果把微软补丁程序加入“白名单”,即遇到了这个程序就放行,病毒就可以通过注入系统进程、冒充系统进程,利用“白名单”突破防御机制,在电脑中为所欲为。
是否会出现选择了“允许”后,依然打不上补丁的情况
这是不可能的。出现拦截提示后,用户选了“拒绝”就会终止程序运行,选了“允许”瑞星软件就不再过问该程序的行为。因此在选了“允许”后,不会出现打不上补丁的情况。网上类似的传闻,是无稽之谈。
瑞星工程师13 - 2009-4-16 17:35:00
“主动防御-系统加固”模块技术详解
瑞星“智能主动防御”是一种阻止恶意程序执行的技术。它是瑞星公司根据多年判断病毒的经验制定了一系列的规则,通过规则过滤、监控各种程序的行为,当发现其存在危险行为的时候,便告知用户,这样将处理此危险行为的权力交给用户,由用户决定放过还是拒绝此类危险动作,从而可以达到主动预防病毒(尤其是未知病毒)的作用。
“主动防御--系统加固”是指针对容易被木马病毒利用的操作系统脆弱点进行监控、加固,以抵御恶意程序对系统的侵害。系统加固对系统动作、注册表、关键进程和系统文件进行监控,从而防止恶意程序的破坏行为。
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对系统的正常运行是非常重要的。瑞星智能主动防御具有白名单功能,能够自动放过具有合法签名的程序。但由于目前木马泛滥,有很多病毒利用过services.exe这个文件进行破坏。为了保障用户电脑的安全,对于系统核心文件和关键注册表项,是不允许由白名单自动放过的。必须由用户进行确认许可,才能够允许程序继续运行。
可爱乖乖 - 2009-4-17 16:05:00
那有搞的那么复杂,就是一个提示,你不想拦截,点允许就是了,这有什么大惊小怪的啊!有主动防御的软件不都这样。
怎么都不懂 - 2009-4-17 16:07:00
像微软补丁之类的东西,当遇到瑞星等杀毒软件拦截的时候,选择“允许”肯定是没错的
Zino_Davidoff - 2009-4-17 16:09:00
只是提醒修改系统文件,有拒绝和允许选择。默认是拒绝,并不是杀补丁。不管什么程序要修改系统文件都会有提示得
木瓜和芍药的友谊 - 2009-4-17 16:11:00
晕死,我刚安装这个补丁,瑞星没提示
狼牙风风 - 2009-4-17 16:16:00
是啊,病毒伪造微软签名的话,要是不拦截不就中毒了吗
多情沙滩 - 2009-4-17 16:17:00
安全性和易用性是成反比的,要是提示少了,肯定不安全。
这提示没问题,打补丁时候,当然要允许了
流浪肥猫 - 2009-4-17 16:18:00
我第一次看见这个拦截了,不小心拦截了,看瑞星说明后,重启再安装放过就安装好了。根本不会安装不上。
宝贝狐 - 2009-4-17 16:20:00
明眼人一眼就可以看出着是360出来招摇的,这也是为了打击瑞星,炒作自己。
树影蜗牛 - 2009-4-17 16:21:00
360公告话纯粹是扯淡,重启后只要选择允许就可以安装。“无论是Windows系统自动更新,还是使用除360安全卫士之外的第三方工具,均无法再继续安装其他更新漏洞补丁”这句话我就更看不明白了?为什么说出了你360之外的其他方式都无法安装补丁了呢?难不成360下载的补丁跟微软官方的补丁不同吗?
发呆专家 - 2009-4-17 16:22:00
我怎么没有遇到工程师说的问题呢,安装补丁很顺利
朝雾の归乡 - 2009-4-17 16:24:00
假设没有360的言论诱导,单从“主动防御”的概念去想,有谁会认为基于行为的拦截是错误的吗?
假设没有360的言论诱导,有谁会认为主动防御的拦截属于“误报”吗?
“误报”指的是通过对特征码的识别将正常文件判为病毒,“主动防御”则完全不依靠特征码,只通过规则来拦截相应的动作
© 2000 - 2026 Rising Corp. Ltd.
