瑞星卡卡安全论坛

问题现象：
=======
视窗 xp + 天网防火墙环境首次被 Rav2009 告警 （见所附屏幕截图）


问题描述：
=======
今日傍晚，上述环境引导至桌面后忽然弹出 Rav2009 的主动防御警告， 提请用户干预有关的驱动安装，这在之前是没有过的，令人困惑。


当时操作：
=======
如果选择 “阻止” 将导致天网防火墙出现错误提示。

如果选择“允许” 则一切照旧，重启机器后再次告警。

如果选择 “信任” 可让上述主动防御警告不再出现，问题是此时 “信任” 的是视窗组件 “Services.exe” 而不是天网防火墙应用程序，这将导致以后安装其它未获确认的应用程序其驱动组件时都会被放行，显然这是一较危险的安全隐患。

最后将“天网防火墙”加入白名单才解决（之前没有将其加入却从未被 Rav2009 告警）。


所以需对上述问题作进一步分析：

  1. 该告警为什么会今日突然出现？

  2. 即使出现了，此时也不能简单让用户干预，一旦用户将视窗组件 “Services.exe” 加入白名单，很可能导致以后在驱动监控方面失控。



附屏幕截图：
=========


用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3

建议楼主换防火墙吧
天网已死:kaka11:

.
谢谢 aaccbbdd 回复及建议。

帖子反馈的问题其实并不限于某款应用软件，就 Rav2009 目前监控驱动安装这一软件特性而言存在安全隐患，正如第一贴的问题描述，如果用户 “信任” 视窗组件 “ SERVICES.EXE ” 很可能导致以后的驱动安装失去监控。

所以反馈 Rising ，提醒作进一步分析。

该用户帖子内容已被屏蔽

建议楼主卸载一个安全软件

.
谢谢 南国东东 回复！

在 Rising 改进前，此问题估计得用户自行解决了，建议自行对 Rav2009 的监控模块打补丁，改动若干字节即可。

.
谢谢 狮子座小皮 回复及建议！




“建议楼主卸载一个安全软件”
-----------
请问卸载哪个 “安全软件”  ？是 Rav2009 还是天网防火墙 ？其实第一帖所反馈的问题与用户环境关系不大。昨天以前问题并未出现过，昨天首次出现，而且问题并非局限于天网防火墙该应用软件，问题出在 Rav2009 的监控模块对应用程序安装或启动驱动组件的研判上。Rav2009 未能准确判断真正的 “宿主” 进程，而是直接省时省力地让用户对视窗系统组件 “SERVICES.EXE” 执行 “阻止”、“信任” 等干预操作。一旦用户轻率地对其选择 “信任” 则往后 “SERVICES.EXE” 即可不受控制地安装或启动其它可能未获确认的驱动组件，显然这是 Rav2009 的一个安全问题。

该用户帖子内容已被屏蔽

.
谢谢 南国东东 回复！

如果测试有结果，不妨跟贴。

前二天将天网防火墙加入 Rav2009 监控白名单以 “解决” 被Rav2009 告警问题，今日 Rav2009 再次弹出第一贴所描述的告警对话框。

如此说来，将天网防火墙加入白名单并不能解决问题，问题很可能与视窗系统在引导过程里加载各 “启动” 项的时序有关。

若天网防火墙先于 Rav2009 的监控模块被视窗系统加载，则可能不被 Rav2009 告警，反之就可能出现有关告警对话框。这就可以解释为何之前未出现过有关告警，而在前二天忽然出现。

轻率地让用户在 Rav2009 的驱动事件监控告警对话框里选择 “信任” 视窗系统组件 “SERVICES.EXE” 是危险的，很可能导致 “来访” 的恶意代码轻易启用有关驱动，进而令用户微机环境里的反病毒系统完全失效。

目前还不清楚 Rav2010 是否亦存在上述安全问题。