收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 ESET(NOD32) NOD32是不是会对EXE文件命名的E书文件误报呀?
返回列表 发新帖
查看: 2146|回复: 5
收起左侧

[求助] NOD32是不是会对EXE文件命名的E书文件误报呀?

[复制链接]
土豆仔仔
发表于 2009-11-2 18:58:11 | 显示全部楼层 |阅读模式
昨天晚上刚刚把NOD32升级到最新的病毒库4563(20091101),打开E书的文件夹,发现EXE结尾的E书都报错。

信息如下:
扫描对象:“D:\Mybox\EBOOK\青囊尸衣.exe”
发现“Win32/TrojanClicker.Agent.NHV 特洛伊木马”的威胁
操作是“无法清除”
信息:“尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET NOD32 Antivirus\EGUI.EXE.”

日志如下:
- <ESET>
- <LOG>
- <RECORD>
- <COLUMN NAME="时间">
<DATE>2009-11-1</DATE>

<TIME>22:25:24</TIME>

</COLUMN>


<COLUMN NAME="扫描程序">文件系统实时防护</COLUMN>

<COLUMN NAME="对象">文件</COLUMN>

<COLUMN NAME="名称">D:\Mybox\EBOOK\青囊尸衣.exe</COLUMN>

<COLUMN NAME="威胁">Win32/TrojanClicker.Agent.NHV 特洛伊木马</COLUMN>

<COLUMN NAME="操作">无法清除</COLUMN>

<COLUMN NAME="用户">MICROSOF-46D90B\Administrator</COLUMN>

<COLUMN NAME="信息">尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET NOD32 Antivirus\EGUI.EXE.</COLUMN>

</RECORD>


- <RECORD>
- <COLUMN NAME="时间">
<DATE>2009-11-1</DATE>

<TIME>22:25:24</TIME>

</COLUMN>


<COLUMN NAME="扫描程序">文件系统实时防护</COLUMN>

<COLUMN NAME="对象">文件</COLUMN>

<COLUMN NAME="名称">D:\Mybox\EBOOK\明朝那些事儿.exe</COLUMN>

<COLUMN NAME="威胁">Win32/TrojanClicker.Agent.NHV 特洛伊木马</COLUMN>

<COLUMN NAME="操作">无法清除</COLUMN>

<COLUMN NAME="用户">MICROSOF-46D90B\Administrator</COLUMN>

<COLUMN NAME="信息">尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET NOD32 Antivirus\EGUI.EXE.</COLUMN>

</RECORD>


- <RECORD>
- <COLUMN NAME="时间">
<DATE>2009-11-1</DATE>

<TIME>22:25:24</TIME>

</COLUMN>


<COLUMN NAME="扫描程序">文件系统实时防护</COLUMN>

<COLUMN NAME="对象">文件</COLUMN>

<COLUMN NAME="名称">D:\Mybox\EBOOK\庆余年.exe</COLUMN>

<COLUMN NAME="威胁">Win32/TrojanClicker.Agent.NHV 特洛伊木马</COLUMN>

<COLUMN NAME="操作">无法清除</COLUMN>

<COLUMN NAME="用户">MICROSOF-46D90B\Administrator</COLUMN>

<COLUMN NAME="信息">尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET NOD32 Antivirus\EGUI.EXE.</COLUMN>

</RECORD>






以上E书都是从正规网站上下载下来的,请问这种威胁是不是属于NOD32的误报呀?
谢谢。
回复

举报

心急如焚KF
发表于 2009-11-2 20:52:53 | 显示全部楼层
我的也报了,不过我排除了整个文件夹
回复

举报

吾与谁归
发表于 2009-11-2 21:46:34 | 显示全部楼层
我的不会,是不是感染了
回复

举报

xmiangui
发表于 2009-11-2 22:09:57 | 显示全部楼层
TrojanClicker是指是在运行时访问链接的行为特征(比如可以访问个最新版的木马地址什么的),且该操作隐藏,即用户是不知情的。

顾名思义TrojanClicker = 木马点击么。当然点击的是不是木马那就看制作者的了。

如果电子书在打开时,后台访问个链接(其实这倒没什么),我想也不奇怪。我小人之心一下,可能有的电子书作者想收点辛苦费,你打开电子书的时候设置访问下他的广告/博客什么的,增加点点击率,这也不是没有可能。(以上纯属小人之心的猜测,见谅)

那么在启发引擎看来(尤其是NOD32自傲的高级语言行为判断看来),这就是典型的TrojanClicker行为,当然启发引擎是不会关心TrojanClicker到底Click的是什么就是了。

[ 本帖最后由 xmiangui 于 2009-11-2 22:38 编辑 ]
回复

举报

土豆仔仔
 楼主| 发表于 2009-11-2 22:15:09 | 显示全部楼层
原帖由 xmiangui 于 2009-11-2 22:09 发表
TrojanClicker是指是在运行时访问链接的行为特征(比如可以访问个最新版的木马地址什么的),且该操作隐藏,即用户是不知情的。

顾名思义TrojanClicker = 木马点击么。当然点击的是不是木马那就看制作者的了。

...


说得有些道理,谢谢~看来以后只能下载HTML格式或TXT格式的电子书了!
回复

举报

strawman0719
发表于 2009-11-2 22:43:47 | 显示全部楼层
学习4楼
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-21 10:56 , Processed in 0.207153 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表