sxs2.exe这个常见的U盘病毒，Nod32居然报未知，还让它运行和添加自动运行的注册表项！

东海林将司

这种现象在样本区有过，上报之后过几天应该能杀了，NOD的主动防御还是弱了一些，太依赖高启发了

[ 本帖最后由 东海林将司 于 2007-3-6 21:23 编辑 ]

ly250094040

是你设置的问题吧

1楼2楼在硬盘上解压就杀

说明你的文件监控里没勾上可移动磁盘

allinwonderi

mcafee报毒。

东海林将司

原帖由 ly250094040 于 2007-3-6 21:24 发表
是你设置的问题吧

1楼2楼在硬盘上解压就杀

说明你的文件监控里没勾上可移动磁盘

LZ可移动磁盘前的勾打了吗？

winark

全都选了，而且即使病毒文件放在硬盘上，结果也一样。
这样试试你就知道：

原帖由 winark 于 2007-3-6 19:56 发表
刚才再试了一次，先关闭Nod32的监控，将sxs2.exe复制到E盘根目录，关闭文件夹。然后打开Nod32的监控，打开我的电脑->E盘，双击运行sxs2.exe，过了一阵，Nod32报C盘发现未知病毒文件sxs2.exe，PC Tools Firew ...

[ 本帖最后由 winark 于 2007-3-7 13:05 编辑 ]

minamoto

繁体2.7，解压时直接报毒。

fenqing

我的能干掉它。

winark

原帖由 minamoto 于 2007-3-7 09:14 发表
繁体2.7，解压时直接报毒。

麻烦请不要回帖不看帖好不好

我说的是文件预先存在磁盘上的情况。例如，先关闭Nod32的监控，将病毒文件解压到D盘根目录，然后再打开Nod32的监控，打开我的电脑->D盘，双击运行病毒文件，看看结果会怎么样。

The EQs

如果nod32有Kaspersky那样的病毒库就OK了。。。Kaspersky的病毒库不是盖的。。。加上自身的特征码识别能力。。。如果一旦启发式查杀效率和误报控制的好的话。。会对nod32产生非常大的影响。。。。。毕竟nod32太依赖启发式。。。特征码识别能力没有kaspersky强悍。。。

mofunzone

雨伞是不可能了，鼠标碰上就报，你都没机会双击。。
p.s 这和启发没关系，只能说是监控上的漏洞，楼主把你nod拦截的文件和你这个文件用hash check检查一下md5，看一下内容一样不，有可能是脱壳的原因，nod很多时候都是马后炮的角色。。

[ 本帖最后由 mofunzone 于 2007-3-6 21:32 编辑 ]