这个文件到底有没有问题，AL和KL意见相左

will

试问当初流氓软件如何肆虐的？我想跟后台下载偷偷安装难脱关系吧？？

中国互联网协会指出，具有下列8个特征中任意之一的软件可以被认为是恶意软件：
　　1. 强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。
　　2. 难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。
　　3. 浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。
　　4. 广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。
　　5. 恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。
　　6. 恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。
　　7. 恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。
　　8. 其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。

[ 本帖最后由 yimike 于 2008-2-24 21:37 编辑 ]

wangjay1980

当然我们都不会了解一个杀软公司到底以什么标准来判断，尤其是这种情况，因为人家下载了个正常软件，但是他又是具有流氓性质的，起码是没有通过正常手段。

但是我们难道就根据此程序下载了一个正常软件来判定它是木马下载者？这样貌似也不妥吧，也很浮躁吧。赶上这个程序名气估计不大，当初红伞杀了SKY的下载者，后来上报后马上纠正说是误报，这时估计他也是惧怕SKY的名气吧

但是就结果来讲，此程序没有给系统带来任何危害，所以说没问题也是可以的

will

小红伞报的没错  木马/下载者.代理  （PS.AGENT其实还有间谍的意思）
至于这个eReader 正不正常也不多说~

PS.雅虎助手在人人喊流氓的时候  还能免费杀毒呢~

[ 本帖最后由 yimike 于 2008-2-24 21:44 编辑 ]

IllusionWing

我这里不好用...

UGuard AutoProtect R3Defender v1.9.0 - 开始防护在2008年2月24日21时38分42秒
级别：3，2008020113TestHttp.exe 试图 打开受保护的文件 F:\Users\Administrator\Desktop\2008020113TestHttp\2008020113TestHttp.exe 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 打开文件 F:\Users\Administrator\Desktop\2008020113TestHttp\2008020113TestHttp.exe 。 - 允许
F:\Users\Administrator\Desktop\2008020113TestHttp\2008020113TestHttp.exe 的副本已经被复制到沙盘内 。
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：3.1，2008020113TestHttp.exe 试图 以复合权限打开注册表项目 \REGISTRY\USER\S-1-5-21-4286289141-2054048487-1000149866-500_Classes\Local Settings 。 - 允许
级别：6.1，2008020113TestHttp.exe 试图 打开受保护的文件 F:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 。 - 允许
级别：6.2，2008020113TestHttp.exe 试图 打开文件 F:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 。 - 允许
F:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 的副本已经被复制到沙盘内 。
级别：9.2，2008020113TestHttp.exe 试图 打开受保护的文件 F:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\index.dat 。 - 允许
级别：9.3，2008020113TestHttp.exe 试图 打开文件 F:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\index.dat 。 - 允许
F:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\index.dat 的副本已经被复制到沙盘内 。
级别：12.3，2008020113TestHttp.exe 试图 打开受保护的文件 F:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 。 - 允许
级别：12.4，2008020113TestHttp.exe 试图 打开文件 F:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 。 - 允许
F:\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 的副本已经被复制到沙盘内 。
级别：15.4，2008020113TestHttp.exe 试图 打开受保护的文件 F:\Windows\System32\drivers\etc\protocol 。 - 允许
级别：15.5，2008020113TestHttp.exe 试图 打开文件 F:\Windows\System32\drivers\etc\protocol 。 - 允许
F:\Windows\System32\drivers\etc\protocol 的副本已经被复制到沙盘内 。
级别：18.5，2008020113TestHttp.exe 试图 打开受保护的文件 F:\Windows\System32\drivers\etc\protocol 。 - 允许
沙盘模式开启，实际打开了 C:\APSSandbox\F\\Windows\System32\drivers\etc\protocol 。
级别：21.5，2008020113TestHttp.exe 试图 打开受保护的文件 D:\Temp\eREAD6.0.zip 。 - 允许
级别：21.6，2008020113TestHttp.exe 试图 打开文件 D:\Temp\eREAD6.0.zip 。 - 允许
D:\Temp\eREAD6.0.zip 的副本已经被复制到沙盘内 。

wangjay1980

呵呵，中国的这个东西能用来约束其它国家的分析师如何判断吗？

请问CNNIC 雅虎助手等著名的软件符合中国的恶软定义吗？请问瑞星杀了吗？金山杀了吗？江民杀了吗？

will

说的好  我上面也补充到了  雅虎助手在人人喊流氓的时候  还能免费杀毒呢~

PS.在某段时间  CNNIC 雅虎助手 瑞星江民金山都杀

wangjay1980

原帖由 yimike 于 2008-2-24 21:43 发表
小红伞报的没错  木马/下载者.代理  （PS.AGENT其实还有间谍的意思）
至于这个eReader 正不正常也不多说~

PS.雅虎助手在人人喊流氓的时候  还能免费杀毒呢~

那就是报也可以，不报也可以吧，总之是自家定义自家的，所以说卡巴的判断也没有问题

从SKY就可以看出，见到SKY，红伞也不敢杀了

wolffshen

请问sky是什么啊？skype吗？
不好意思，大家讨论就好，现在一般也叫恶意软件，malware
上报给FS看看

[ 本帖最后由 wolffshen 于 2008-2-24 21:54 编辑 ]

wangjay1980

总之，问题一到流氓软件这里，就仁者见仁，智者见智了，卡巴也不杀CNNIC，但是N多杀软杀，大蜘蛛还杀过TX呢。

不过好在流氓软件的风头已经基本过去了。小厂小流氓都敢杀，大的流氓就不一定了

wangjay1980

我记得当初上报CNNIC时（可能是我第一次上报CNNIC），卡巴的回复是，出于法律的原因