Myth about Kaspersky 这不是误报！如何正确理解主动防御的提示(1)

Feb 25 2008

Myth about Kaspersky 这不是误报！如何正确理解主动防御的提示(1)

Published by Donald at 11:33 am under 杀毒软件

卡巴斯基用户众多，众多了这就什么人都有了…无奈卡巴斯基属于典型的没考虑中国消费者心理，以为真是考虑的越周密，安全性越高越好。可惜很多用户不买账，那PDM（主动防御模块）就成了挨板砖不是最多也是相当多的功能了，最后还连带影响了卡巴斯基本身，成了所谓”误报王者”。真是这么回事么？

不管承认不承认，这年头仅仅依靠特征码来对付病毒木马各种有害程序越来越赶不上趟…针对各个杀软的免杀也是嗷嗷多。现在不是有专门的工具做卡巴的免杀么…就算卡巴斯基的反应速度惊人，但是还是会有那么一点点滞后。怎么办呢？那就让用户也参与进来，作为防毒的一个环节吧。利用PDM，用户可以通过PDM那基于程序行为的提示，来自行判断这个行为究竟来自正常程序并且放行，还是来自有害程序应该阻止。很显然卡巴斯基过分高估了用户的水平了，设置中也出现了不少让叔叔阿姨哥哥姐姐弟弟妹妹们迷糊的选项，结果呢？可能玩个游戏卡巴斯基都会跳出来告诉你这东西是Keylogger（键盘击键记录程序），是否放行之类…用户说，”这TMD绝对是误报～这游戏我没装卡巴时候就开始玩，瞎说～”完了，”误报”了…类似的事情可能还会在启动QQ时候发生…所以这就成了无尽的”误报”。

误报，一般来说，是指将正常的文件报成病毒木马什么的…作为PDM，它只不过是基于程序的行为作出判断，所以并不意味着它提示的东西就是有害的，还可能是正常的程序也具有这个行为罢了。如何区分呢？最简单的方式是看到PDM针对某个程序作出提示后，用搜索引擎们搜索一下这个文件名就会很轻易找到这个究竟是正常程序，还是有可能是有害程序…或者，多问问人，而不是简单的允许…一路允许点着也累而且也没起到保护的作用。

下面说说PDM的常见提示（主要翻译自http://forum.kaspersky.com/index.php?showtopic=36390，其实常看官方论坛是个很好的习惯^^):

Win.MSSQL.worm.Helkern
1)啥是Win.MSSQL.worm.Helkern？

Helkern是个蠕虫程序，利用微软SQL Server 2000的漏洞进行攻击，更多信息可以参考这里和这里。

2）谁在攻击我？为什么？我与人无怨无仇

基本上大多是刚用防火墙（不包括Windows那虚幻的墙…）的朋友，查看防火墙日志的时候都会有类似的问题…为啥攻击我？其实这些攻击都是由被有害程序控制的受害者电脑自动发出的，目的是找到其他具有漏洞的电脑进行攻击感染然后再变成另一台可以继续攻击其他电脑的僵尸…这个过程是全自动而且随机的。所以…随机的，不要想太多…

3)我应该做什么来保护自己？

首先，KIS的入侵探测系统（Intrusion Detection System,IDS）会阻止它，所以你是安全的。当IDS阻挡了这样的一次攻击后，你会看到一个这样的提示（一般在桌面右下角）：

即使没有IDS的保护，也只有部分PC会被攻击，也就是那些运行SQL Server 2000并且没有打上修正这个漏洞的补丁的电脑们～所以经常查看并及时更新补丁是非常重要的。

4）如何去掉这个提示？

如果你觉得这个提示很烦人，你可以很简单地关闭它：将鼠标移至这个提示窗口右上角的小三角那里，点击”禁用这个提示”（我是按字面翻译的，中文版的卡巴斯基可能略有区别，不过位置肯定还是那儿～呵呵。）

Keylogger

1）什么是Keylogger，为什么会出现这个提示？

从卡巴斯基的6.0.1.411开始（就是MP1开始），KAV/KIS 6可以通过一个程序的行为来探测Keylogger（键盘击键记录程序）了。所以你会看到KIS/KAV的关于当前程序的弹出窗口提示，比如这样的：

这些并不是误报，KAV是基于行为（比如抓取当前击键，过滤击键等等）来探测Keylogger，真正的Keylogger也会显示这样的提示。

2）我如何分辨这个程序是否是合法的？

如果你并确定当前弹出提示中显示的程序是否是正常的，你可以用搜索引擎（比如Google,Yahoo,Ask等等）来搜索它的名字或是从论坛中搜索。

当你知道这个程序是可信的（比如ICQ，Skype等等），你可以将它添加到Trust Zone(中文版叫啥来着？可信区域好像…）中，在弹出提示窗口的右下角有添加的链接（点击看动画）。

如果你没有发现任何关于它的准确信息，或如果它确实是个Keylogger程序，你可以在卡巴斯基官方论坛的Virus ralated issues版块发个帖子让大家帮你看看：）

3)在某些Keylogger弹出提示中，”终止”选项不可用

这说明卡巴斯基发现这个Keylogger是以驱动形式存在的，驱动是无法马上终止的，所以只有”允许”选项可用。处理类似的东西，我们通常需要重启…

4)Kernel Mode Memory Patch（这个在中文版的卡巴中怎么说的？核心模式内存补丁?知道的朋友请告诉我）

如果一个Keylogger的弹出窗口蹦出来，提示的Keylogger名字是Kernel Mode Memory Patch，并且你正在使用HIPS类软件（host intrusion prevention system，主机入侵阻止系统）比如System Safety Monitor或是Process Guard，那么你是安全的，可以将提示的那个程序添加到可信区域中，因为这种行为在HIPS程序中是很常见的。

5）在升级到卡巴斯基7后”Keylogger”行为增多

卡巴斯基7系列的互联网安全套装和反病毒增加了对抗击键程序的额外保护。其中一个是新增了探测程序利用DirectX DirectInput事件来进行击键记录。很遗憾的是，大量合法程序也使用这个事件，大多数是游戏和媒体播放器，尽管他们并不像击键记录程序一样记录你的击键动作。如果你知道这个程序是安全的（比如一个来自像EA这样大公司的游戏，或是一个视频播放器，比如WinDVD或是PowerDVD），那么你可以添加它到可信区域中。

待续…