很奇怪的现象

Qutianshang

一个别人制作的程序，微点扫描的时候报木马，而双击的时候却只是拦截远程联网。阻止后没有反应，放行之后才再次被查出木马。这是什么原理，要是盗号岂不是中招了？

ft_8001

没用样本，很难说～

把文件样本发给微点（ 邮箱：  support@micropoint.com.cn），看是否是误报～～

也可以把把文件样本发给“样本区”，请大家看一看噢～

http://bbs.kafan.cn/forum-31-1.html

a445441

这个想象我测试微点的时候时常可以见到  我也想知道呢
@wqcaokeyinwq

Qutianshang

ft_8001 发表于 2014-5-3 22:04
没用样本，很难说～

把文件样本发给微点（ 邮箱：  ），看是否是误报～～

那个是别人制作的一个，数字什么的都已经入库了，确实是病毒没错。刚想传到样本区，死活穿不上来

Qutianshang

a445441 发表于 2014-5-3 22:15
这个想象我测试微点的时候时常可以见到  我也想知道呢
@wqcaokeyinwq

我不确定还试了几次，结果还是那样。

a445441

Qutianshang 发表于 2014-5-3 22:23
我不确定还试了几次，结果还是那样。

我觉得这个应该和微点的监控有关吧  这个是微点高启发出来的

Qutianshang

a445441 发表于 2014-5-3 22:30
我觉得这个应该和微点的监控有关吧  这个是微点高启发出来的

难道说微点启发报毒，然后运行的时候病毒行为暂时没有表现出来，于是就只是拦截异常联网。后来放行，病毒行为明显了才被杀？

a445441

Qutianshang 发表于 2014-5-3 22:41
难道说微点启发报毒，然后运行的时候病毒行为暂时没有表现出来，于是就只是拦截异常联网。后来放行 ...

这个病毒有行为 并且触发微点规则 微点主防才会拦截

vv斯立

扫描的时候是启发引擎查出，双击的时候用的是行为，只触动了拦截远程的规则，阻止后不再违规故无反应，放行后又触动其它规则判定木马（也可能先前的启发查杀后提取了特征码，放行后被监控报毒）

真小读者

扫描报解压不报，一般说明该样本微点没有入库（特征库），扫描报只是扫描启发。
微点的监控大致有两类，特征监控和行为监控。这两种监控与扫描引擎的启发不挂钩，但共用病毒特征库，所以一般是解压报的话扫描也报（特征监控和扫描中的特征码扫描基本一致）
行为监控则是靠内置的行为分析来智能判断实际行为（扫描启发是模拟运行）。
因此扫描不报，运行报；运行报联网，阻止不报，放行报，都是说明微点的行为判断逻辑——根据实际行为判断是否应该报。如果是盗号木马，你阻止联网，木马相当于没行为，行为分析自然什么都判断不出来。只有放行，样本动作起来，微点才能进一步判断是否应该拦截报警。
一般的盗号木马，微点报联网，放行后，应该是在木马传送相关数据的时候微点报警拦截。这种拦截当然会有漏洞，也是前段时间微点无法控制白加黑之类的问题的一个原因。
（语无伦次的说了好半天不知道你听懂没，可以参考置顶帖微点教程，那里搜集了不少资料）