对于红伞最近出现的"双后缀门"事件的个人浅显分析

伞兵づ泡泡

原帖由 huanxu 于 2008-4-12 21:42 发表
敢问楼主有没有试过其他杀软呢？？？？

传到VT上面试过，eSafe也报，不改名字都要报的

其他都不报

goodfish2002

那只是报告可疑啊,并没有说是病毒啊

ctx0705

一直信奉一条准则 即：反病毒软件的敌人始终是并且只能是对用户有明确危害的程序 反病毒厂商不应作为正版软件的守护者 绿色版或者破解版的软件对用户没有危害  所以报破解软件就是不可原谅 注意 我不是在提倡盗版
至于报什么不规范的行为的程序 我以为 用户是技术弱势群体 一个被盲目报可疑的程序99.999%的个人用户是无从判断其是否有危害的 这是厂商的工作 不能以安全的名义把义务推向消费者
所谓误报 就是报了不应该报的文件 所有以安全为名义的理由在影响用户正常使用之下只会是可笑的借口
补一句，喜欢一个软件 就应该正视他的缺点 掩饰只会影响其成长
注：以上的话不是针对哪一款软件而特指的 避免口水

wayaya

原帖由 zwl2828 于 2008-4-12 21:31 发表

正常的程序会这么做吗？！

抛开这些不谈，误报了就是误报了，判断有毒了就是有毒了，不应该由用户来二次分析

而且根据目前的迹象，伞的判断存在一些逻辑上的问题

同样的lame.exe文件，高启发不报，而改名为lame.bak.exe就报启发（不选择双扩展名监控），显然解释不通

mofunzone

报crypted.e就对了，crypted.e是高启发对加密+隐藏后缀exe文件的报法
hidden extension是对付0day的msn蠕虫最有效的办法，这就是我对antivir为什么会有这么一个选项唯一的解释
在msn蠕虫大面积爆发的时候，任何用antivir的用户只要选上这个选项就可以保证100%不会中蠕虫，只要他按照antivir的提示删除了病毒
相对其他的软件，这就是一种战术
实际我对这些不怎么看重，antivir也不是靠着hiddenextension和crypted.e杀毒的

[ 本帖最后由 mofunzone 于 2008-4-12 12:02 编辑 ]

mofunzone

实际不只是antivir有这个hidden extension的报法
avg也有
http://www.wilderssecurity.com/showthread.php?t=1207

mofunzone

可以再看一下实际早在很久远之前lovegate就把windows的扩展名的问题用来传播自己了
这都是一些大面积爆发的0day蠕虫，这么一个选项也可以说成是一个低廉的解决方案
http://www.cert.org/incident_notes/IN-2000-07.html

伞兵づ泡泡

德国人喜欢用简单的思路来解决问题，令人满意的结果才是最可靠的

sunnyicy

用文件名进行注释的用户不是有问题了吗

伞兵づ泡泡

原帖由 ctx0705 于 2008-4-13 02:03 发表
一直信奉一条准则 即：反病毒软件的敌人始终是并且只能是对用户有明确危害的程序 反病毒厂商不应作为正版软件的守护者 绿色版或者破解版的软件对用户没有危害  所以报破解软件就是不可原谅 注意 我不是在提倡盗版
...

貌似AV-C跟你的准则差不多哎～～所以红伞从来得不到AV-C的好评价