有一事求教。

5332666

偶在样本区测试病毒，通常是下载到桌面，解压之，360卫士报毒，就截图上传。360卫士不报，我就上报。

但是昨天有人经过测试，说是样本下载到别的硬盘解压，并不会报毒。我也不懂，特来求教。

【转帖】

回复 17楼 5332666  的帖子

看了你17楼的发言，我于是想看看这个木马防火墙到底有多能耐。到官网找了很久，没看到有单独的这个“木马防火墙”，于是看了其他网页上的介绍才知道原来是在360安全卫士里。下载了安全卫士来装了，更新了它的备用木马库。按理说，更新到今天的木马库是肯定能认得本楼这个样本的对吧，然而，不管我把那个压缩包放到哪里去解压，我这里新装的这个卫士里的“木马防火墙”它就是一声不吭。
于是，我很友好的猜想，会不会是因为这个样本其实没有危害，360新的库中并没有它的信息？
然后我又下载了另一个叫“熊猫烧香二代”的样本，在桌面上解压，我的“360木马防火墙”仍然没动静，我又复制到其他地方解压，还是没动静。我再下载了个tmp病毒样本，这个应该不是无害文件了吧，解压，还是没动静，甚至我很无聊的把它改后缀为exe并压缩后再解压，没有惊喜，我那高贵的“360木马防火墙”非常安静。
嗯，难道说这个“360木马防火墙”非常智能，知道我在这里说了它的坏话，干脆不为我工作了？这也太神奇了吧。
如果说是因为我这里没有安装360杀毒，那么它更新的那个“备用木马库”是什么东东？
就在我抱怨的时候，它终于有动静了，说是explorer修改hh.exe，不知道这是哪个样本干的，我初步怀疑是那个pif快捷方式。等把它解决了再看。

回复 21楼 5332666  的帖子

既然样本在别的硬盘解压不会报，那么很显然它报的根据就不是样本的特征，而仅仅是特定的路径以及特定的文件格式（例如凡是桌面的LNK文件被修改它都会报，关于这一点你自己可以验证的，在别人的电脑那里复制一个LNK文件到自己的电脑上打包，再到桌面解压），当然这种思路有实用价值，很多流氓软件都会恶意修改桌面上的IE快捷方式，不过，它总是报winrar这类解压工具就很容易误导用户。这类防御思路只能作为辅助手段，因此用这个木马防火墙来检测本论坛的样本，不合适。
我昨天下载到的是7.1版本。我没有安装杀毒。也没有打开云。
昨天后来的经历让我感觉很受伤，折腾了近一个小时我也没能干净的弄掉那个坏东西。看来是那个tmp样本。因为总是在%temp%下面会生成一个172KB大小的tmp文件，名字随机，并且这个文件会插进explorer的模块中（看来除了LNK漏洞之外还存在一个tmp漏洞？我很确定我没有运行过样本），因此无法简单的删除掉它。暴力删除后，如果运行一下其他软件，这个幽灵一般的tmp文件又复活了。无奈之下，恢复了系统。现在仍在担心中，我不知道我的其他分区上的程序是否被感染，也不知道如果被感染有没有杀软能清除它。
我突然之间有个感觉，360木马防火墙监视的那个用户桌面，是在c盘那里，那个系统默认分配给用户的桌面路径。而不是用户自己定义的桌面路径。如果这样，我昨天的测试中它一直很安静就很好解释了，因为我使用中的这个桌面，真实路径不在c盘。
由此，我想顺便给360提个建议，一些取巧的思路是可行的，只要能保证用户的安全。不过，也要尽量考虑各种可能。比如这个桌面的路径，以及其他一些用户可能会自定义的特殊文件夹的路径，我建议从注册表里读取。

————————————————————分割线————————————————————
根据国内大区版规

4、发帖标题应简明主旨，内容应具体翔实。诸如“版主进来”、“高手救命”、“请教”、“SOS”、“HELP”、“119”等类似字眼的“跪求”帖均锁帖或移除。

已经对标题作出适当调整。

老佳

囧神

囧，卫士对解压到桌面上的文件，凡是没有被列入白名单的基本都会报~ 所以测卫士检测率的时候，一般都不会把样本往桌面上解压的。

白羊座

熊猫烧香2根本不是毒，怎么报？顶多人工入库做个joke
后面一串的联想，再丰富都没用了，出发点不对

あ掵㊣峫淰℡

坐等mj和大白羊

colorful_days

坐等mj和大白羊
あ掵㊣峫淰℡ 发表于 2010.8.20 18:22

你上边就是羊

fuqiuqiu

回复 4楼 あ掵㊣峫淰℡  的帖子
来了，在你楼上呢[:27:][:27:][:27:]

   

jefffire

又是新熊猫。。。。那贴误导多少人啊。那个所谓熊猫，就改了个注册表，导致图标被改，其他什么也没有。

XMonster

确实，有些病毒放桌面马上报    非桌面有些运行都不会报

あ掵㊣峫淰℡

回复 6楼 fuqiuqiu  的帖子


    回复 5楼 colorful_days  的帖子

额  我和白羊座是同一时间发帖    就晚了几秒

liveliub

不是吧  360卫士对于病毒压缩包解压还能监控 ？

为什么我偶尔几次解压都是其他杀毒报 360毫无动静了 ？

ps  网盾下载保护何时才能出来  ？