【精睿特别提醒】关于NOD32无法防御部分U盘病毒的说明

bdrdc

很早以前听说某位开着ESS却被U盘病毒干翻的事情，觉得很奇怪，专门试了试，当时ESS报警，就片面的觉得这位仁兄的遭遇应该是人品问题，不是ESS的问题。
可是今天动了脑筋，又试了试，发现ESS 3.0.667确实被过，让人很是郁闷。

这两次的区别就是以前测试的样本可被ESS病毒库查杀，所以轻松的被ESS检出，这回特意找了个不被病毒库查杀，但是可被高启查杀的病毒，看看效果如何；
1、先恢复ESS默认配置，做了个autorun.inf，将其指向病毒文件，插入U盘，打开“我的电脑”点击U盘盘符，呜呜呜，在毛豆的监控下，可见病毒已经运行，注册表写入了一堆，又开始调用CMD和Wscript，反正很惨。
2、将“文件实时防护”的高启发和脱壳检测打开，(*^__^*) 嘻嘻……，这会好使了，一双点U盘盘符，提示程序无法运行，ESS弹框报毒，成功将病毒干掉。

原理分析如下：
1、由于ESS默认只对新建文件和被修改的文件开启高启发扫描，但是U盘内的文件，ESS认为不是新建或被修改的文件，自然就不会启用高启发扫描，大家也都知道，ESS的核心是高启发，如果只靠病毒库，连X星的毛都不如，所以病毒得以成功运行。
2、而一旦开启了“文件实时监控”的高启发，那么程序运行前，是要经过高启查毒的，这样ESS马上凭借高启发扫描到病毒。


结论：
ESS在默认配置下不能很好的防范U盘病毒。

提醒：
1、鉴于U盘病毒的猖獗，如果没有屏蔽inf，就请大家打开“文件实时防护”的高启发和脱壳选项，虽然偶尔计算机卡些，但是效果是一流的。
2、ESET国际官论管理员Marcos承诺将在下一个主程序升级时处理这个问题：
引自http://www.wilderssecurity.com/showthread.php?t=213878

The simplest thing you can do is disable the autorun feature. Also you can enable advanced heuristics and runtime packers on file access in the real-time protection setup, but this may result in a performance slowdown as all files would be emulated before they are run. For this reason, the next major program update will have scanning of removable media improved.

wu110099258

谢谢提醒！！！不过本人还用USBKILLER来保护！！

xuchenno1

用nod就是为了追求流畅，要是开了高启，那还不如用红伞，卡巴了，

天骄之子

多谢斑竹大大提醒，o(∩_∩)o...

wlqq325

谢谢哦
我试试

mulunbo

呵呵  我电脑就没啥
直接搞个U盘防御

tuoyuan

哦
以前还没有注意这个问题
自己的优盘每次都在自己的两台电脑间用用
要是被别人拿去后
我基本上都会手动扫描的
手动扫描可是开了高启发的哦
而且以前养成的良好习惯现在还一直保存着
就是所有新的文件，打开之前都会扫描一次的。
确保到电脑里面的文件都要经过检查的
以前杀软不行，很多次都会中标
所以就养成了手动扫描的习惯
虽然现在很多杀软都能够监控了，但是自己还是习惯了！
就拿卡巴斯基来说吧，2009在运行文件之前，特别是在运行那个安装程序的时候
都会停顿一会，在扫描文件，但是我还是习惯了先自己扫一次再说了
这样放心
哈哈

544948485

我的邮件监控关闭，文件防护所有全开（基因启+虚启）。呵呵

qiao7387

同意！#l%21 #l%21

文武斌

这样呀   谢谢  斑竹 提醒  哇卡卡   #l%5 #l%5