1   1  /  1  页   跳转

[误报问题] ris的 木马行为引擎误报

ris的 木马行为引擎误报

请您按照模板格式提交相关信息:

操作系统及补丁情况:vista home sp1
浏览器及版本:ie7  火狐
瑞星软件版本:ris  21.16.05

问题现象:误报太重
出现问题前的操作步骤:试用了卡卡论坛提供的规则包
问题能否复现:(必现)
发现行为编辑器所编辑的规则太单一(上传规则包),举个例子:“卸载程序时,被卸载的程序在后台启动ie,收集反馈信息,而此时木马防御引擎就报病毒,是否隔离?”-----------上述程序只是启动ie就被报了!!!是否可以改进为规则集。我的意思是当未知进程符合第一条规则,然后进行第二条规则的比对,若再触发进行第三条规则。。。
举例说明-----被卸载的程序启动ie后,行为分析引擎马上进入第二条规则比对,监控ie是否偷偷下载exe或试运行,若符合此条则报警!!!

x也是行为分析,但它的行为分析是是一个规则集,判定一个病毒,是靠数个规则来判断的。而09的行为分析是一条定乾坤,只要符合一条,就报毒-------这样误报就太高了!!!请改进!!!

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

附件附件:

下载次数:407
文件类型:application/octet-stream
文件大小:
上传时间:2008-11-16 18:23:59
描述:rar

分享到:
gototop
 

回复:ris的 木马行为引擎误报

感谢楼主的支持,您提交的问题以及样本已经上报,请继续关注瑞星~
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT