免费的杀毒软件小红伞在中国用户中有不错的口碑,最近也推出了简体中文版,不过要在中国市场生存下去,就要解决水土不服的问题。虽然天下病毒都一样,不分国内与国外,但是如果不了解中国行情,不重视对中国软件程序信息的整理收集,误报率太高将可能影响到小红伞中国市场的发展。
目前为了解决小红伞等杀毒软件对国内软件误报高的问题,除了用户上报误报信息和厂商增加白名单外,我们也只有了解点辨别误报的方法,以下面的扫描报告为例,红色说明文字是我加的,此方法也可适合于其它杀毒软件的误报,结果可供参考,但不保证100%正确(连专业的都不保证何况我们用户自己)。
正在启动文件扫描:
开始在“C:\”<WINXP> 中扫描
C:\pagefile.sys
[警告] 无法打开文件!
[注意] 此文件是一个 Windows 系统文件。
[注意] 无法打开此文件以进行扫描。
(pagefile.sys文件是正在使用的系统文件,即虚拟内存,所以无法打开,其它杀毒软件也有这样跳过的,如NOD32)
C:\Program Files\成都博大教育科技有限公司\博大考神9.0之Excel2003模块\BDKS.exe
[检测] 是 TR/Drop.Agent.chsb 特洛伊木马
C:\Ghost\resource\QuickReboot.exe
[检测] 包含 SPR/Tool.Hardoff.A 程序的识别模式
开始在“D:\”<本地磁盘> 中扫描
D:\软件\暴风影音2012-3.10.05.20.exe
[0] 存档类型: NSIS
--> ProgramFilesDir/stormpop.exe
[检测] 是 TR/Swizzor.wsp 特洛伊木马
D:\软件\游戏\极品飞车.exe
[0] 存档类型: NSIS
--> ProgramFilesDir/NFSC.exe
[检测] 包含 SPR/AutoIt.Gen 程序的识别模式
(应该是误报,以上各程序明显是应用软件中的文件,注意看它们的文件路径,就知道它们分别是教育软件、GHOST一键还原、暴风影音播放软件、游戏等软件中的程序文件)
一般情况下,位于应用软件安装目录中的文件大多不是病毒或木马,特别是不那么有名而比较专业的应用软件(如专门的教育软件),腾讯、MSN这类在绝大多数电脑上常出现的软件才可能成为目标(清除方法,卸载并删除干净原安装目录或更换路径后重新安装软件);还有一些通用的软件,如暴风影音,只要从正规渠道下载的,如官方网站、大型下载网站,一般也没有问题(虽然这样网站也不免被挂马和攻击,但相对的安全性要高得多);至于游戏,单机游戏由于国情,盗版破解或作弊补丁、修改器,往往会被国外杀毒软件误报,虽然曾经盗版是传播病毒的重要途径,但网络时代后这种情况少多了(都去做能牟利的盗号或推广去了),就看你想继续玩还是胆小放弃了,网游麻烦点,如果不是私服外挂(不讨论),只要下载的游戏来自官网,一般也没问题,但不排除病毒木马后期进入的可能,要分清是否是游戏本身的文件(情况似乎也比较少,毕竟躲在这里,如果卸载删除干净原游戏后重装就清除了)。
还有一种情况是病毒木马假冒正常软件的安装路径,如假冒熊猫杀毒软件的病毒,但这样也很容易暴露自己,安装目录位于c:\program file\中过于明显,用户装过什么软件总会知道,不如藏身在系统目录中更隐蔽。
另外不排除感染型病毒破坏的可能,如原可执行文件被病毒感染,或者是病毒替换冒充正常文件。但有一点,一般情况下病毒不知道用户电脑上装过什么软件,所以即使假冒也多假冒系统文件,应用软件特别是不普遍的软件被假冒的就少,因此应用软件被报大多为误报,如果情况严重到病毒感染文件的程度,那么被报告有病毒的就不仅仅是小部分应用软件中的特定文件,而是大量的软件中的同类型文件,依此也可以大致判断出是否误报。
再深入的方法就是用多引擎查毒网站查了,就是麻烦点,如果被怀疑的文件数量很多体积又很大的时候(查毒网站也会限制上传文件大小)。轻松的办法也有,把可疑文件寄送杀毒软件厂商,让他们分析升级病毒库和杀毒软件(各杀毒软件上报病毒样本、提交可疑文件的网址) 。
最后如果确认了是误报,在杀毒软件更正自己的误报前,请将这些被误报的对象加入杀毒软件的白名单、排除名单或信任名单(请参照不同杀毒软件的说明)。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/854.html