用户从隔离区恢复的文件自动加入白名单 bbs.ikaka.com

baohe - 2013-11-12 17:09:00

http://bbs.ikaka.com/showtopic-9261620.aspx这个贴子说的“同一文件，V16+有时报毒，有时又不报”的问题，严格来说，按照该帖叙述的操作来说，这其实不应算是V16+的bug。
为啥？因为你自己认为是误杀了，所以才从隔离区恢复。是这个理儿吧？

这里要强调的是，不管是不是真的误杀，只要用户将V16+灭掉的文件从隔离区恢复（不管你恢复到哪里），V16+一律将其自动加入白名单。
我刚才拿一个真正的病毒，按照http://bbs.ikaka.com/showtopic-9261620.aspx这个帖子的操作做了一遍，然后，在V16+所有监控全开的条件下，双击此.exe，病毒运行很流畅，V16+不报任何信息。这点不能怪V16+哦。
具体操作环境：XPSP3，True Image虚拟环境。双击从隔离区恢复的病毒，然后重启。
结果见截图：
1、重启后CAHIPS检测到的病毒活动：

附件: 您所在的用户组无法下载或查看附件

2、病毒进程、病毒释放的文件及重启后用V16+快扫的结果：

附件: 您所在的用户组无法下载或查看附件

3、病毒改动的注册表信息：

附件: 您所在的用户组无法下载或查看附件

4、被恢复的病毒文件自动进入V16+的白名单：

附件: 您所在的用户组无法下载或查看附件

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.3)

networkedition - 2013-11-12 17:19:00

白名单那项默认是勾选的:kaka6: ，猫叔把v16+不报毒样本压缩发来吧。

baohe - 2013-11-12 17:20:00

引用:

原帖由 networkedition 于 2013-11-12 17:19:00 发表
白名单那项默认是勾选的:kaka6: ，猫叔把v16+不报毒样本压缩发来吧。

神马“不报的样本”？
我实验用的这个样本V16+报哦

networkedition - 2013-11-12 17:24:00

病毒释放的样本:kaka12:

baohe - 2013-11-12 17:28:00

引用:

原帖由 networkedition 于 2013-11-12 17:24:00 发表
病毒释放的样本:kaka12:

这......有意义吗？

1、此毒在“白名单”身份状态下运行了。
2、此毒有驱动加载。在“合法”身份下释放加载的病毒驱动可能干扰重启后的查杀结果哦。
3、从那驱动的名称及释放的这些病毒文件来看，我觉得是个老毒哦。

baohe - 2013-11-12 17:34:00

引用:

原帖由 networkedition 于 2013-11-12 17:24:00 发表
病毒释放的样本:kaka12:

拿去吧
貌似不是啥新鲜货哦

附件: 您所在的用户组无法下载或查看附件

panchengwei - 2013-11-12 17:58:00

只能说，我大概理解了猫叔的意思，不过暂时还有点拐不过弯。
是不是说不管有没有白名单，瑞星都不应该放过威胁系统安全的行为？

另外，我那个帖子的测试过程是基于白名单清空的前提下做的。

virusmaster - 2013-11-13 8:03:00

从隔离区恢复时，加入白名单这一项就是默认选择了的。所以在白名单列表中同路径、同文件名的文件运行，瑞星是不再管的了。

baohe - 2013-11-13 9:51:00

引用:

原帖由 panchengwei 于 2013-11-12 17:58:00 发表
只能说，我大概理解了猫叔的意思，不过暂时还有点拐不过弯。
是不是说不管有没有白名单，瑞星都不应该放过威胁系统安全的行为？

另外，我那个帖子的测试过程是基于白名单清空的前提下做的。

完全按照你那帖子的叙述操作：
1、解压病毒样本，V16+灭掉样本。
2、从隔离区恢复被灭掉的病毒文件。
3、打开白名单设置，删除自动加白信息。
4、双击病毒程序。
5、待病毒程序完全运行后，重启。

networkedition - 2013-11-13 9:54:00

v16+文件监控没反应啊:kaka6:

networkedition - 2013-11-13 9:56:00

样本已收集。

baohe - 2013-11-13 10:17:00

引用:

原帖由 networkedition 于 2013-11-13 9:54:00 发表
v16+文件监控没反应啊:kaka6:

附件: 您所在的用户组无法下载或查看附件

networkedition - 2013-11-13 10:29:00

那个是开启病毒白名单后，扫描和监控都不起作用了。

panchengwei - 2013-11-13 11:50:00

猫叔，也就是说白名单被清空的情况下，你顺利运行病毒样本了，而且它还释放了新样本？

baohe - 2013-11-13 13:35:00

是滴

tom2000 - 2013-11-13 13:49:00

正好相反吧!

我理解自动加白只是查杀加白即蓝色闪电图标
而监控还是灰的就是说监控理论上还报!这个是无法自动加白的

造成这种问题就是瑞星监控的只是一个流行病毒库猫叔的样本正好不在监控的范围内.
其实这个解决办法很简单,就是瑞星默认时去掉自动加白!毕竟对于绝大多数用户来说这个默认设置太危险

天月来了 - 2013-11-13 14:17:00

哪个工程师想出的这逻辑哟

从隔离区恢复的文件自动加入白名单:kaka8:

普通用户，就是那种连开机都不会的用户

一旦哪天开始摸索学会从隔离区恢复文件，那么操作恢复后，进入白名单后的文件，这玩意还自动监控那能自动监监么？

不能的话，普通用户是会自做聪明的去双击恢复出来的文件打开看看滴的！！！！

例如那个全盘文件加密的病毒，它是以邮件发给用户的，用户打开邮件的第一步你瑞星隔离了，但是用户因为好奇会隔离区恢复出来继续双击打开看看的。

:kaka6:

tom2000 - 2013-11-13 14:25:00

这个加白确实有讨论的空间现在这个时候是引擎调教对于高端用户误报上报非常有好处

但是后期对普通用户其实增加了安全风险因为一般用户是相信安全软件的它们也没有能力甄别误报,所以就是报!---杀!!! 基本不存在回滚操作.!

猫叔天月你们还是来特邀嘉宾群吧!这里面可以跟研发攻城狮直接交流,我感觉这种问题在群里直接交流会方便很多!

tom2000 - 2013-11-13 14:37:00

[img]1[/img]
默认把这个去了就OK了

附件: QQ图片20131113143159.jpg

baohe - 2013-11-13 14:37:00

引用:

原帖由 tom2000 于 2013-11-13 13:49:00 发表
我理解自动加白只是查杀加白即蓝色闪电图标

我彻底晕菜。:kaka6:

这种设计比较奇葩。

按一般常人理解：活动的项目————彩色显示；不活动的项目————灰色（或黑色）显示。

瑞星卡卡安全论坛