小红伞疯掉了！用文件名来判断病毒？

fucktoby

晕了~~~期待红伞高手答复~~~~

zwl2828

小红伞会检测双（多）扩展名，并没有说是病毒
只是说是可疑，更不能说是靠文件名判定木马！！

zwl2828

原帖由 sanhu35 于 2008-4-11 21:22 发表
官方找的然后用google翻译
heur / crypted是一个启发式侦测例行设计，以侦查常见恶意软件的特点。 avira antivir认识未知恶意程序，积极利用其领先技术。要做到这一点， avira履行创新结构分析。

在此基础上组成 ...

HEUR/Crypted是一个用来检测常见威胁特征的试探程序，Antivir通过AHeAD技术来侦测未知威胁程序。为了这个目标，Avira完成了创新的结构分析技术。

在文件的基层结构，有意义代码的顺序或者基于特殊的行为特征，有很高的几率可以启发出文件是否有害或者含有病毒。

HEUR/Crypt会特别指出具有可疑结构的程序，通常这种文件被加密、保护并经常生成其他文件。在运行后以试图隐藏其真实功能，HEUR/Malware会在当程序具有可疑功能的时候被特别报告。

破解软件或者被破解的程序自身具有算号器经常用到相似的技术，所以Avira AntiVir的AHeAD启发可能也会侦测到此类的文件，我们需记住木马经常伪装成类似的软件。

启发侦测有可能误报满足下列条件的程序：
1、程序已经被长时间使用，而且用户很清楚这个文件；
2、程序是被用户自行安装的；
3、程序来自一个可以信赖的资源。

请注意，即使是信任的程序一样也可以在不知道的情况下被病毒感染或调换，可信赖的资源就有可能变为威胁。

8610

哗众取宠的标题。。。

伞兵づ泡泡

以后还是直接把官方的英文粘贴过来好了

英文还能看懂，翻译工具摧残过之后所有人都看不懂了

solid_van

你认为是双扩展名引起的，为什么你不把那个双扩展名的勾勾去掉试一下？——结果一样报警报到你心慌。
另这个文件是我在华军下的，很久了，我在其他磁盘里有RAR的备件，已经对照过MD5值跟现在这个是一样的，排除中途被感染的可能，再不信的话你可以去华军再下一个（3.97），反正它也没有新版本出来。

choco_dove

多扩展名的一般都不是什么好鸟

伞兵づ泡泡

原帖由 solid_van 于 2008-4-11 21:37 发表
你认为是双扩展名引起的，为什么你不把那个双扩展名的勾勾去掉试一下？——结果一样报警报到你心慌。
另这个文件是我在华军下的，很久了，我在其他磁盘里有RAR的备件，已经对照过MD5值跟现在这个是一样的，排除中途 ...

去掉别的勾试试看呢？我上传到VT之后，VT上的红伞没报，eSafe报了

我现在手边没有红伞

MD5value是d2073a12964fbedaa3584809b490d7ad吗

[ 本帖最后由 伞兵づ泡泡 于 2008-4-11 21:42 编辑 ]

solid_van

不能这样说，它本来是单扩展名的，是我在试适合我的AMD CPU编码器的时候无意中发现这事的。（本来是想把原来的编码器改个名字）

sanhu35

去掉那个拓展 一样报