小红伞疯掉了！用文件名来判断病毒？

wayaya

刚才又试了试，去掉扩展名监控的勾勾，对lame.exe不报警，对lame.bak.exe也不告警

选上扩展名监控的勾勾，对lame.exe不报警，对lame.bak.exe告警，如果把lame.bak.exe改成lame.eee.exe这样的，也报警

推测是这个文件曾经被上报过，名字已经入库了，并且红伞提取了这个文件的某些特征，例如sha1，但是对没有上报的文件，名字和特征没有入库，红伞就不警报

wayaya

微笑的前奏的说法

不是用文件名报毒，而是报双扩展名的加壳文件可疑－－关于所谓“红伞用文件名来报毒”

试了一下，确实如此

[ 本帖最后由 wayaya 于 2008-4-12 11:04 编辑 ]

一凡

设置排除吧
我的红伞把我的理正软件全误报了，因为理正是DB的，没钱没办法

bk201

确实报了怎么回事水来解释下哈

王永波

我怎末没事啊

wayaya

原帖由 王永波 于 2008-4-12 16:26 发表
我怎末没事啊

扩展名得是三个字的，bake是四个字不算

王永波

大家仔细看看红伞说了什么
如图
红伞说：这个文件包涵一个可执行文件。
              但这是通过一个无害的文件扩展名诊断得到的。
意思就是说：虽然显示是个rar文件（很多人是隐藏扩展名的），但实际上是个exe文件。
                  红伞在提示我们，多贴心啊哈
                  更喜欢红伞了哈  真仔细哈哈

spatra

那位英文不错的去官方论坛反应下比较好。

我的红伞明明不监控RAR文件，改成lame.exe.rar监控竟然报警。

[ 本帖最后由 spatra 于 2008-4-12 16:44 编辑 ]

王永波

难道这就是所谓的“误报”吗

大家看仔细了  红伞在说什么哈  没有误报哈   相反很恰当哈  不要一看弹出框就紧张哈

HC303

没想到，今天没有看都这么多了。
这个问题是不是可以简单化呢，要是真用文件名来判断的话，那是不是原来以explorer.exe出现过的病毒，红伞入库了，现在正常的也就被KILL了呢？
但是现实中呢，有以explorer.exe的名字出现的病毒吗？当然有，但是小红伞有没有把各位机子上的正常explorer.exe干掉了呢？恐怕每个用红伞的人都和我一样吧，有干掉吗？当然没有。

纯属个人愚见，请不要喷我。