费尔的怎么了？BUG？？还是……？

bluenice

以前没有留意，今天留意了下，还真把我给吓住了！

运行一个样本后，费尔的监控提示产生了2个生成物。我就点击“清除”按钮，随后那个生成物的制作者马上被删

除了。后来我在dos下，用dir命令查看，发现文件还存在！ 我明明是点击“清除”了啊，怎么还是有？

后来怀疑是自己搞错了，又运行了那个样本，但是几次的结果都一样。真不明白为什么费尔不能清除？？

这个属于“子母型”病毒，母的清除掉了，难道子的就不能清除掉？希望费尔能改正这个问题。

注：以上操作是关掉了费尔的“阻止对可执行文件的写操作”功能。

helloav

偶尔会出现这个现象。是因为pol.exe这个进程文件名没有显示完整，所以直接清除这个“pol.exe”不能成功的。
这个感染预警只是为了防止感染写可执行程序设计的，它只清除进程，不清除作用文件。比如如果pol.exe去感染windows中原有的svchost.exe，如果清除时连windows的svchost.exe也清除了不就...不过楼主的这个建议或许会让费费有所启发~~~

[ 本帖最后由 helloav 于 2007-2-11 00:56 编辑 ]

bluenice

原帖由 helloav 于 2007-2-11 00:48 发表
偶尔会出现这个现象。是因为pol.exe这个进程文件名没有显示完整，所以直接清除这个“pol.exe”不能成功的。
这个感染预警只是为了防止感染写可执行程序设计的，它只清除进程，不清除作用文件。比如如果pol.ex ...

我的意思是，费尔不能清除子母型病毒，既然给出了提示，为什么不能清除？
那些生成物文件如果不发作就变垃圾文件了。

我不单单是运行了这一个样本，所有会生产文件的样本我都试过，结果都是不能清除。

有些还是生产了好几个.dll文件。

aoyang

原帖由 helloav 于 2007-2-11 00:48 发表
偶尔会出现这个现象。是因为pol.exe这个进程文件名没有显示完整，所以直接清除这个“pol.exe”不能成功的。
这个感染预警只是为了防止感染写可执行程序设计的，它只清除进程，不清除作用文件。比如如果pol.ex ...

原来是这样，那没能清除的病毒也不能发作了吗？也就是系统垃圾。
晚上的时候我还和楼主讨论了这个问题的，呵呵。我也给官方反映了情况，看他们是怎么说的。收到邮件我会地一时间给大家分享的。

chow2006

关注

aoyang

还可以这样来理解了：
感染预警的目的只是为了防止病毒感染正常文件的，所以它预先假定了进程文件有问题，但它将要改写的目的文件却是正常的，举例来说假如一个病毒去感染一个正常文件A，那么清除时将不能清除A，因为A应该是正常的。所以目前的感染预警功能在显示作用文件时只是为了提示用户，并没有把它也列为危险对象，也不对它进行清除。

对于新生成的病毒文件，将会由动态防御模块来负责拦截和清除，所以生成物system.exe如果执行将会被动态防御拦截、清除

因此我有所启发感悟：如果有正在使用费尔的朋友如果对感染预警功能比较熟悉和了解，也可以同时打开    阻止对可执行程序的写操作    这一项，将可以从根本上阻这些东西的生成，达到更好的防御效果