令人心寒的2个误报

显示全部楼层 · 发表于 2009-2-16 21:11:28

最近家里想买一个豆浆机，于是用IE登陆九阳官网查询一下产品信息，费尔立刻报可疑程序
hxxp://www.joyoung.com.cn/（把xx改成tt）

从淘宝网购买后，在EMS查询页输入单号查询进度时，费尔又报了

，这回是病毒

把隔离区的文件提取出来后上传至VirSCAN.org扫描后均100%检出无毒，应该是是误报

样本已发至样本区，链接地址：http://bbs.kafan.cn/thread-425883-1-1.html

可怜的用户体验啊

[ 本帖最后由朝闻道于 2009-2-16 21:16 编辑 ]

显示全部楼层 · 发表于 2009-2-16 22:05:09

JS脚本文件，行为分析无恶意行为，上报费尔

显示全部楼层 · 发表于 2009-2-16 22:12:58

一般这种情况是,网站采用了非常规加密,这种加密方式容易被利用来干坏事,挂马之类的

因而费尔报.

信任此脚本试下,-----费尔不可以信任网站,麻烦!!

显示全部楼层 · 发表于 2009-2-16 22:15:36

费尔的网页监控不是针对网络的数据流监控的，只是针对临时文件进行监控。所以不能对网站进行排除。

显示全部楼层 · 发表于 2009-2-17 10:43:21

原帖由 zzh161 于 2009-2-16 22:15 发表
费尔的网页监控不是针对网络的数据流监控的，只是针对临时文件进行监控。所以不能对网站进行排除。

知道啊,有什么好的解决方法嗎?

没数据流监控,也可以设置信任网站的吧

其实,我觉得对这样的网站还是严点好!

显示全部楼层 · 发表于 2009-2-17 15:07:08

报告的网页中尾部含有两个可疑的隐藏窗口，指向外部，并且代码所处位置在网页脚本最尾部，不符合标准HTML规范。这种现象常常出现在ARP病毒插入病毒代码、网络被攻击加入恶意代码的情况。所以被费尔报告可疑，以引起用户注意，大型网站被病毒入侵的案例都非常普遍，所以不能因为访问的网站正规而掉以轻心，请参考相关消息 http://www.filseclab.com/news/08010417.htm 。虽然此网页的这次引用并没有真正引向病毒，但仍然不建议采用这种比较奇怪的方式来加入隐藏真实代码，谢谢。

显示全部楼层 · 发表于 2009-2-17 17:22:41

费尔的工作人员效率真高！信赖费尔，支持费尔！

显示全部楼层 · 发表于 2009-2-17 17:54:44

怎么回事a我也经常用ems我访问就不报的

显示全部楼层 · 发表于 2009-2-17 18:36:37

可能设置不大一样吧

显示全部楼层 · 发表于 2009-2-17 20:28:56

费尔是我见过的反应最快的实验室了~~~
支持一下~~~

[费尔] 令人心寒的2个误报

回复 3楼邀请的帖子

评分

回复 8楼 sound886 的帖子

[费尔] 令人心寒的2个误报

回复 3楼 邀请 的帖子

评分

回复 8楼 sound886 的帖子

回复 3楼邀请的帖子