查看: 6729|回复: 28
收起左侧

[技术原创] 亲身体会了“小红伞”误报的“威力”

[复制链接]
antime
发表于 2007-3-6 20:30:14 | 显示全部楼层 |阅读模式
1、某月某日小红伞将我的rundll32.exe报为木马隔离;
2、今天安装ip1200打印机驱动,装好之后死活打印不出一个字,打印管理器显示“正在打印,,正在检测设置和状态”就毫无反应,于是不停安装、卸载、下载不同的驱动、打开各种系统服务。。。。从今天下午5点忙到8点。。无效,十分钟前准备重装系统。
3、准备关机前看到了“邪恶”的红伞,福至心灵地打开隔离区把四个文件rescan,刹那间rundll32.exe被恢复名誉,解除隔离,同时一个从未出现的窗口弹出“您没有安装彩色墨盒,无法打印”,哭。。。。。。。。
4、原来听说ip1200可以单墨盒打印于是只装了一个黑色墨盒,原来必须是彩色墨盒才可以单墨盒。。。。

哭。。。。。。。。
kerry1
发表于 2007-3-6 20:35:09 | 显示全部楼层
人家采取的是宁可错杀一千,也不放过一个的策略,误报高点对于菜鸟来说是好事,反正确保你中毒中木马的几率很小..

  上面的言论转自这里某高人
allenhippo
发表于 2007-3-6 20:37:45 | 显示全部楼层
的确,有的时候升级数据签名之后发现报某某有毒,然后更新之后又不报了。

很可能就是某个vdf版本报,下一个vdf就修复了...
hnhkxywl
发表于 2007-3-6 20:42:36 | 显示全部楼层
我还没见过那个品牌的打印机驱动会调用rundll32.exe的
欠妳緈諨
发表于 2007-3-6 20:44:47 | 显示全部楼层
我不怕误报,就怕有毒不报 ,误报了自己看清楚,加入信任区就可以了
allinwonderi
发表于 2007-3-6 21:22:52 | 显示全部楼层
小红伞的误报确深有体会。
rs-z
发表于 2007-3-6 21:31:57 | 显示全部楼层
啟發不要開到最高就不會有太多的誤報了
starfish
发表于 2007-3-6 23:12:16 | 显示全部楼层
我也误报了几次了,老是把注册机给拉出去斩了……
evilcat
发表于 2007-3-7 00:08:50 | 显示全部楼层
怎么看怎么是你中毒了
Oceanzd
发表于 2007-3-7 04:10:36 | 显示全部楼层

回复 #4 hnhkxywl 的帖子

rundll32会调用任何带有DLL对象连接或者API钩子的程序
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:38 , Processed in 0.129665 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表