MSE日志，ID 1015

ELOHIM

首先，看一下MSE版区的置顶帖吧~
http://bbs.kafan.cn/thread-661340-1-1.html

此文简单介绍了MSE的日志事件ID，包括本文主题“1015”。
今天检查日志，果然发现有该类型日志记录。
【号外：该类型检测，MSE是不会变脸的。虽说严重性低，但是看完介绍我认为也不低。】

先看看日志吧：
##############################

Microsoft 反恶意软件 已检测到可疑行为。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/? ... threatid=4294967289
        名称: Informational:Behavior/ModifiedKernel
        ID: 1797173218
        严重性: 低
        类别: 可疑行为
        路径: process:_0
        检测原点: 未知
        检测类型: 可疑
        检测源: 实时保护
        状态: 执行
        用户: Unknown\Unknown
        进程名称: Unknown
        签名 ID: 717259538435
        签名版本: AV: 1.145.1004.0, AS: 1.145.1004.0
        引擎版本: 1.1.9203.0
        保真标签:  低
        目标文件名:  
##############################

下面是微软介绍摘抄：


技术信息 (分析)


该行为监控功能注意到作为他们运行的程序的进程的行为。如果它认为表现出潜在的恶意进程，它将报告程序进程运行作为潜在的恶意。

不是所有报告为潜在的恶意程序恶意软件。用户可以骗到使用良性的程序如 web 浏览器中，不知情的情况下执行恶意操作，例如下载恶意软件。良性程序可能有恶意软件或人类的敌人，迫使它们执行类似的恶意操作者可以利用的缺陷。然而，某些程序的行为监测报告确实恶意软件-例如新的恶意软件，只是最近才发表恶意软件作者和无法检测以外行为监测的手段。

由于这种不确定性，行为监控不尝试清理怀疑有恶意软件的程序。相反，它报告这些程序在 Windows 系统事件日志中，并描述它们执行的潜在的恶意行为的具体种类。对于客户参加 SpyNet，行为监控还报告程序和其不良行为向 Microsoft 进行进一步的分析。在这些报告中不发送任何个人识别信息。

为了减少报告的数量上的程序这是良性 （也就是说，没有恶意)、 行为监控将不报告上知悉是良性的程序列表的程序。

当它注意到潜在的恶意行为，行为监测可能会报告以下的检测：

信息： 行为/DroppedKnownMalware

创建一个新的恶意文件或修改现有文件以包含恶意软件 — — 这就是一个过程、 一个已知的恶意程序或其他恶意内容，观察到行为监测。

进程可能会出现此行为中至少三种情况：
1.该进程运行一个良性的程序，如 web 浏览器和用户使用它来下载或以其他方式创建包含恶意软件的文件。
2.该进程运行一个良性的程序，如 web 浏览器。敌人利用程序和部队它要下载或以其他方式创建一个包含恶意软件的用户同意的情况下的文件。
3.该进程运行程序的恶意软件。之后的恶意程序中的说明，下载或否则将创建一个包含更多的恶意软件文件的过程。

除去已知恶意软件不良行为检测系统事件日志中创建 1015年事件。事件名称的过程名称字段包含该程序的进程的文件正在运行。找到路径字段包含恶意软件的进程创建或修改命名的文件。

此事件并不表示该进程正在运行的程序是恶意软件。如上文所述，它可能用来下载恶意软件 （案例 1） 良性程序或一个良性的程序，是剥削 （案例 2）。只有在案件 3 是恶意的程序。然而，尽管这种不确定性的原因，程序删除已知的恶意软件，此事件报告程序并删除已知的恶意软件的事实。

信息： 行为/SentBotLikeTraffic

行为监测观察开始使用互联网中继聊天 (IRC) 协议的网络通信的过程。


IRC 协议被为了支持多人之间的在线聊天。但是，特定类型的恶意程序 （称为 Bot 可能使用 IRC 通信与控制的攻击。IRC 使攻击者能够与沟通，而同时使它很难观测 Bot 通信进行追踪，并找出它们的管理员控制大量的受感染的计算机。

进程可能会出现此行为中至少三种情况：
1.这一进程是良性的 IRC 客户端没有恶意的用户操作。
2.这一进程是以沟通人类敌人控制 Bot 经营 Bot 的良性 IRC 客户端。
3.过程是 Bot 使用 IRC 协议，与人类的敌人作战控制 Bot 进行通信。

发送 Bot-Like 交通检测系统事件日志中创建 1015年事件。该事件的过程名称字段名称包含该进程正在运行的程序的文件： 也许一个良性的 IRC 客户端程序 ；也许是恶意的 Bot。

此事件并不表示该进程正在运行的程序是恶意软件。如上文所述，它可能是一个良性的 IRC 聊天程序 （与前两个示例）。只有在案件 3 是恶意的 Bot 程序。

信息： 行为/ModifiedKernel

行为监测检测正在运行的操作系统内核状态中被篡改的迹象。

称为内核修改"后门"通常导致内核隐藏恶意文件，进程，修改内核状态和网络连接从管理员的恶意软件。然而，一些良性的程序还修改内核状态中以类似的方式用于合法目的。因此下, 一代最前沿客户端安全检测内核状态被篡改，时不在系统受到病毒感染 rootkit 的某些迹象。

修改内核检测在系统事件日志中创建 1015年事件。找到路径字段将显示与被篡改，是否下一代最前沿客户端安全性可以识别该驱动程序的驱动程序。

信息： 行为/ModifiedAutoRunInf 和信息： 行为/ModifiedHOSTS

行为监测观察分别修改 AutoRun.inf 文件或主机文件，过程。

虽然恶意软件经常修改 AutoRun.inf 和主机文件时感染系统，管理员有时使用良性程序太修改这些文件。因此，这一事实下一代最前沿客户端安全性已观察到的这些行为是不感染系统的某些迹象。

修改 AutoRun.inf 和修改主机检测在系统事件日志中创建 1015年事件。该事件的过程名称字段名称包含该进程正在运行的程序的文件： 也许良性程序管理员用于修改这些文件，也许是恶意软件。

---

你的MSE报告这个ID了吗？

ELOHIM

别高兴了，这个只是记录，根本不拦截，没用

驭龙啊，我有高兴过吗？

只是看到这个事件。。    我也知道MSE不拦截。。

maomao110

反正MSE用的蛮好的

ELOHIM

maomao110 发表于 2013-3-9 21:15
反正MSE用的蛮好的

猫猫你好，你的MSE报过毒吗？

maomao110

ELOHIM 发表于 2013-3-9 22:09
猫猫你好，你的MSE报过毒吗？

没有过呢