360你太肯爹了，加了2个字就过掉云主防【虽然拦截了部分】

帅就是帅

个人认为即使 attrib +s +h c:\windows  /s /d 命令也并不是恶意.
vbs 脚本本来就存在盲点难以直接通过 "行为" 直接定性黑白.
比如稍微高级用户可以通过 vbs 来批量完成任务避免重复性劳动, 对其就是提高了效率; 被病毒利用就可能给一般用户带来困扰.

换一个更简单的例子:
行为 A: 某网管因工作需要需将硬盘全部格式化, 写了个批处理, 很方便; 某病毒运行时使用同样命令格式化用户的所有分区, 这就带来了困扰. 但不能因此界定这个格式化操作命令就是恶意的.

而同一个 vbs 脚本里可能存在多种类似的 "行为 A" “行为 B” “行为 C” ……
即使把这些统统联动也很难界定黑白, 每个地方都设置拦截点是看起来 "威力无穷", 但也大大增加了用户干预成本.

P.S. 还原暴风一号脚本后逆操作即可修复 :-)

00315

米途gg 发表于 2012-6-30 09:00
大牛来了LZ就跑了

ＭＪ也算大牛？

米途gg

00315 发表于 2012-6-30 10:52
ＭＪ也算大牛？

谁告诉你我说的是MJ 他有具体解释？

00315

帅就是帅 发表于 2012-6-30 10:08
个人认为即使 attrib +s +h c:\windows  /s /d 命令也并不是恶意.
vbs 脚本本来就存在盲点难以直接通过 "行 ...

这个要看怎么拦截，其实这个病毒的行为都看的很清楚了，40楼说了，修改文件属性不为错，可是要把系统默认的修改为用户不可选，这就存在恶意，当然对系统熟悉的可疑用命令修复，可是普通用户呢？创建无数LNK来等待利用激活C盘下的释放脚本，而那些LNK，熟悉系统的用户的是不会去执行的，而普通用户呢？在那这个和360这点行为防御点上来说，一般用户看到拦截以后就会认为已经拦截危害，可能不会去扫描，这样就给了用户二次激活病毒的机会，属于病毒启动点并没有拦截到，这就是漏点。

而你说的问题在于对象是谁？会使用系统各项操作和命令的一般都是高端用户，对于高端用户来说，当安软出现拦截的时候应该知道如何选择放行还是阻止，甚至来说都不用这些安全的保护，得多为普通用户想一想。

李白vs苏轼

z13667152750 发表于 2012-6-30 00:34
去掉了qvm,360真正的文件监控就只剩md5云了

随便修改下vbs代码md5就变了,肯定就过了云特征监控......

那就是本来我说的 本来就没拦住 不是么

李白vs苏轼

sxyuqiao 发表于 2012-6-29 21:07
问题就是去掉了QVM，如果QVM在的话，主防照样拦截

不过，再次证明了MD5拉黑啊

话说 qvm是默认关闭的 这点得改

但是 qvm开了 在量级的用户群下 有风险

88865ff

jefffire 发表于 2012-6-29 23:43
这个问题和那天看到的中华黑豹过火绒如初一辙啊，火绒官人也不认为残留的东西是过主防。

黑豹那不一样 他已经破坏了数据了  火绒压根拦截不了 黑豹和小浩 我在虚拟机里测试过N次  虽然是提示拦截但系统文件已经被破坏了 这难道也叫防住了？

sam__天涯

00315 发表于 2012-6-30 00:56
那要是这样建议360以后不要拦截篡改首页或者默认浏览器了，安你这个逻辑就是用哪个不是用？只要没有实际损 ...

其实卡巴斯基的主防也是这样的，所以杀软还多一个监控，主防防御住威胁，剩下的残留项扫描修复解决这是所有厂商都用的啊

XMonster

jefffire 发表于 2012-6-30 00:03
Q管就别提了，好多默认“建议允许”，等于没拦截。而且文件夹属性修改，当然不能算病毒行为。
有毒LNK， ...

7.0默认阻止了，6.8比较坑爹

XMonster

z13667152750 发表于 2012-6-30 00:24
360主防的一个缺点是只有拦截,没有结束进程

请问当你再次点击C盘的文件夹快捷方式时360的主防是否会 ...

曾经建议加上结束进城，但没有采纳样