不是用文件名报毒，而是报双扩展名的加壳文件可疑－－关于所谓“红伞用文件名来报毒”

你东西没有十全十美

外国的月亮也不是最圆滴

有问题解决就是了

360有这种问题

维护的人绝对没红伞人多

大家理智对待就行

solid_van

可是改成lame.rar.exe或lame.zip.exe时却又报HIDDENXT/Worm.gen啊，不可能文件名不同报出的结果会不同吧。

hmilyqing

学习ING 谢谢楼主  真是个RC

friefrie

好~~ 支持本帖 大家心平气和 心平气和啊~

目前使用kis 8 344 pre RC2 的飘过  

asinasina

楼主很强大～solid_van也很牛，高手交锋，我还是在一边看看，从这两个帖子学到了不少东西～

[ 本帖最后由 asinasina 于 2008-4-12 10:58 编辑 ]

aerbeisi

以现在讨论的结果来看，就是必须满足加壳，同时改掉原来的文件扩展名（无论是单、双）就报了，不过改成数字双扩展就又不报了，多个扩展名报吗？

不知道是不是所有的加壳文件改掉原来的扩展名都报。如果是所有的都这样，启发引擎问题大了，别人可以随便做出红伞启发误报的文件来。如果就单个lame文件，那就是红伞对这个文件处理有问题。

现在没装红伞，关了启发还报吗？如果关了不报的，那说明它的启发引擎有问题，还有待与改进。总之，时刻关注着。

wayaya

原帖由 yimike 于 2008-4-12 09:56 发表
楼主已经在官方论坛上反应了啊  :-)
官方人员不也说是加壳+双扩展名吗？
重要的是官方技术人员说明了报Huer/Crypt.E是启发式引擎，与是否选中扩展威胁类别的Double Extension无关

和文件名有关，不检测双扩展名，就不报lame.bak.exe，官方说法有问题

wayaya

原帖由 aerbeisi 于 2008-4-12 11:01 发表
以现在讨论的结果来看，就是必须满足加壳，同时改掉原来的文件扩展名（无论是单、双）就报了，不过改成数字双扩展就又不报了，多个扩展名报吗？

不知道是不是所有的加壳文件改掉原来的扩展名都报。如果是所有的都 ...

关了启发也报

绝对是扩展威胁类别的Double Extension的问题，官方说错了

zwl2828

大家心平气和
从这两个帖子学到了不少东西

will

报HIDDENXT/Worm.gen 这个才是扩展威胁分类里的Double Extension在起作用
你取消了Double Extension   然后再扫描Lame.zip.exe试试   看看报的是什么？