1   1  /  1  页   跳转

[误报样本] 木马行为防御误报的安装文件

木马行为防御误报的安装文件

木马行为防御误拦截规则包安装程序,我用RIS2011测试,RAV2011应该存在同样问题吧。附图




附规则安装程序

附件: Setup.rar (2010-10-24 12:54:19, 1323.58 K)
该附件被下载次数 321



用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; CIBA)
PM偶时请附上求助贴的地址...
分享到:
gototop
 

回复:木马行为防御误报的安装文件

瑞星2011版是否弹出了拦截提示?请楼主同时提供瑞星2011版本号,同时右击托盘处的监控绿伞查看日志/备份数据,将日志导出后上传。
gototop
 

回复:木马行为防御误报的安装文件

该规则安装时候默认将某些文件隐藏 类似于病毒的行为 所以报了
但暂时不解决
gototop
 

回复 3F newcenturymoon 的帖子

怪事,虚拟机测试同个安装程序有的时候拦截有的是不拦截

貌似是安装程序开始执行时会释放自解压文件,这点触发了规则。"该规则安装时候默认将某些文件隐藏" 不会向system32增加隐藏文件也会触发木马防御吧?那我把文件隐藏属性去掉,还会触发吗?
最后编辑Enao2005 最后编辑于 2010-10-24 23:11:58
PM偶时请附上求助贴的地址...
gototop
 

回复:木马行为防御误报的安装文件

第一 释放的文件是被隐藏的可能引发报警
第二  安装时候 如果打开了自我保护  触犯了自我保护也会报警
这两条都不触犯就不会报警了
gototop
 

回复:木马行为防御误报的安装文件

瑞星2011版是否弹出了拦截提示?请楼主同时提供瑞星2011版本号以及拦截截图。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT