瑞星拦截KB956572补丁程序的说明
4月15日,部分瑞星用户在更新微软公司提供的09年4月份的补丁程序时,遇到如下情况:在微软补丁程序KB956572运行后,瑞星杀毒软件、瑞星全功能安全软件的“智能主动防御”模块会提示拦截信息。
请广大用户选择“允许”,即可顺利安装该补丁程序。
为何瑞星会在此时弹出提示窗口在安装这个微软补丁的过程中,有修改系统文件services.exe等类似病毒的行为,因而瑞星会弹出窗口提示用户。该拦截信息并非瑞星产品的误报或者BUG,而是瑞星主动防御的正常提示。瑞星“智能主动防御”模块(其中的“系统加固”-“系统 文件保护”规则)会对重要的系统文件加以保护,以阻止盗号木马和其它病毒修改系统文件,攻击用户电脑、窃取隐私信息。
有许多病毒具有类似此次微软补丁的行为,譬如后门病毒Backdoor.Win32.Small.tf,它运行后会修改系统文件services.exe,瑞星主动防御发现其行为时进行拦截,就可以避免系统文件services.exe被恶意修改。如果不进行拦截,该病毒运行成功后,会给系统开后门,并下载大量木马到电脑中,可能造成用户电脑中的信息被窃取等严重后果。
瑞星产品的拦截措施,是基于行为来判断的,无论木马病毒还是商业软件,只要触犯这些行为规则,譬如修改系统文件等等,就会被拦截,是否放行则由用户自己来判断。如果遇到类似微软补丁的行为,瑞星产品会弹出泡泡提示用户如何操作,保证补丁程序的顺利安装。
为何不把微软补丁程序加入“白名单”来解决问题
如果把微软补丁程序加入“白名单”,即遇到了这个程序就放行,病毒就可以通过注入系统进程、冒充系统进程,利用“白名单”突破防御机制,在电脑中为所欲为。
是否会出现选择了“允许”后,依然打不上补丁的情况
这是不可能的。出现拦截提示后,用户选了“拒绝”就会终止程序运行,选了“允许”瑞星软件就不再过问该程序的行为。因此在选了“允许”后,不会出现打不上补丁的情况。网上类似的传闻,是无稽之谈。
瑞星工程师13 最后编辑于 2009-04-16 19:37:38
