本帖最后由 12973 于 2013-10-20 11:14 编辑
说真的,这个趋势科技的中国区病毒码,"食之无味弃之可惜"
趋势科技中国区病毒码China Pattern相关说明
ftp://ftp.antivirus.com/china/cn-website2/china_pattern_faq.html
一、China Pattern简介
趋势科技推出的Pattern King计划是根据中国地区的电脑病毒特点和特性,专门制作的病毒码(China Pattern)。并且在其中加入了多项智能扫瞄病毒技术,Intellitrap技术,最新杀病毒DCE5技术等多项查杀毒功能,而且会持续不断的丰富China Pattern的查杀毒技术。 China Pattern会全面提升趋势产品的电脑病毒查杀能力。
二、China Pattern FAQ(FAQ下载版本请点击这里)
2.1 什么用户适合使用China Pattern?
用户环境感染病毒的风险较高,希望尽可能减低病毒入侵造成的损失的用户。
2.2如何判断目前是否使用China Pattern?
中国的病毒码版本号是x.yyy.60(注意最后一定是.60节尾) ,并比全球的号码高1.60。全球的病毒码版本号是以.00结尾,例如某日全球的病毒码版本号是:3.701.00,而对应的中国区号码是:3.702.60。还有一种情况就是有紧急的病毒码(出现病毒爆发等情况)就是.80或者.90结尾的病毒码。
2.3 什么产品可以使用China Pattern?使用China Pattern要注意哪些事项?
基本上所有在国内销售的产品可以支持China Pattern,具体包括以下产品:
OSCE(7.0/7.3),SPNT(5.58),CSM(3.0), SPLX (2.x)
SMD(3.0 for Windows/Linux/Solaris/AIX/AS400)
SMLN (2.6 Windows/Linux/Solaris/AIX/AS400)
SMEX(7.0/7.3)
IMSS (5.7 for Windows/Linux/Solaris)
ISVW (6.x for Windows/Linux)
IWSS (2.5 for Windows/Linux/Solaris)
IWSA, IGSA, IMSA
Webprotect for ISA(3.x/5.x)
TMCM (3.0/3.5)
DCS(2.x/3.x)
Pc-cillin (2006/2007), Housecall(6.x)
注意:对应于Officescan和CSS/CSM产品需要安装对应的Hotfix以支持DCE5.x(安装方法,请参考实施文档)
2.4 什么是Packer-Gen.xxx?遇到Packer-Gen.xxx该怎么处理?
Packer-Gen.xxx是趋势科技Intellitrap技术检测出来的病毒名称.
Intellitrap技术针对网络中存在的病毒特点,在识别bot类程序以及特殊文件结构上进行了增强,可帮助客户提高对未知病毒的识别率。
该技术配合它的黑白名单以及不断加强的unpack技术,可以有效的增强查毒能力。
如果有可疑文件被检测为Packer-Gen,用户可以收集这些文件,以密码“virus”压缩(密码不含引号),发送到china_pattern@trendmicro.com.cn。趋势科技会予以分析并在病毒库中做相应的精确处理。
用户可以手动收集Packer-Gen可疑文件,也可以使用趋势科技提供的简易收集工具(工具会自动收集文件并生成加密压缩包)。
在此下载Packer-Gen收集工具:http://support.trendmicro.com.cn ... PackerCollector.zip 使用方式见其中的readme文档。
2.5 内外网隔离用户,怎么办?
可以使用TSUT来进行更新。请到http://support.trendmicro.com.cn/Anti-Virus/China-Pattern/TSUT/下载最新的TSUT来进行更新。
2.6 如何Roll back?
如果用户需要Roll back,可以直接把更新的地址改回到原来的全球的更新地址。具体请参考部署文档。
http://support.trendmicro.com.cn ... _Doc/officescan.pdf
2.7 对China Pattern的建议,怎么给趋势?
可以直接发送邮件到:china_pattern@trendmicro.com.cn 感谢您提供的建议。
2.8 使用China pattern后,机器上扫瞄出大量病毒其中包含正常文件,用户如何恢复被隔离的文件?
如果是被隔离的文件,可以通过以下方式恢复,恢复的方法和其他隔离的文件一样:http://www.trendmicro.com.cn/cor ... sp?solutionId=62327
2.9ServerProtect是否可以部署CNPK
可以,但是ServerProtect不支持DCE5.0,只能使用目前的DCE3.98,部署手册请参考:
http://www.trendmicro.com.cn/cor ... sp?solutionID=62749
2.10 China Pattern和Global Pattern最大的区别是多了哪几种病毒名称?默认操作(active action)是什么?
China Pattern比Global Pattern多加入了约5万多个样本,然后又加入了多项智能扫瞄技术,所以会多出很多病毒名称。默认的操作是先清除后隔离。
2.11如果一个常用文件被误报了,趋势何时能够将其添加到例外中。
如果是发生误报的现象,目前分为两类:
1. Packer-Gen误报: 这种类型的文件只要提交给趋势科技,下一个病毒码版本就能加入例外,一般是1天。
2. 其他病毒的误报:其他病毒的误报相应的速度和Global Pattern的一致。
2.12 一般使用china pattern后用户会反映,很多正常的exe都会被认定为病毒,而对熊猫烧香,威金等病毒却查杀无力时该如何处理?
如果出现误报的情况,请把误报的文件提交给我们,我们会及时处理。关于熊猫烧香,威金等病毒,我们有给用户解决方案处理突发的情况。目前这些病毒变种非常多,各大厂商都在努力处理这种情况。
2.13 部署完毕后,需要注意哪些事项?如对于不同类型病毒的处理措施该如何设置)
部署完China Pattern , 需要注意以下事项:
1. 确保手动扫瞄,实时扫瞄,预设扫瞄的处理措施设置在ActiveAction上
ActiveAction是Officescan对于病毒的智能处理措施,这样的设置可以对于packer和generic类型的病毒Pass,并且不会有Block的动作。
如果设置为Pass,虽然不会隔离和删除文件,但是会有一个Block文件的动作,这样程序就不能对文件做任何操作。为了不影响用户正常程序的运行,建议设置ActiveAction上。等到
用户这边对Packer完成了收集和调优的过程后,就可以对Packer设置措施了。
请注意ActiveAction和PASS的区别。
2. 部署完China Pattern 后如果发现在手动扫瞄,实时描,预设扫瞄中没有packer和Generic这些类别,这是因为您的Officescan引擎没有升级到8.320.1001以上。这两种病毒类型是为了增强查杀毒能力加入的。需要Officescan新引擎的支持。请把您Officescan引擎升级到8.320.1001以上。如果您使用的是TSUT进行更新(TSUT更新引擎存在问题),请使用AURS 或者手动更新一次。
三、具体实施文档下载
如果有需要部署,请参看具体的部署文档:
1.officescan部署方案
http://support.trendmicro.com.cn ... _Doc/officescan.pdf
2.csm部署方案
http://support.trendmicro.com.cn ... /Deploy_Doc/csm.pdf |
发表于 2013-10-20 11:07:41
楼主
发表于 2013-10-20 11:42:50
