【问题标题】:VB6 IDE removed by Symantec Endpoint due to 'WS.Reputation.1'由于“WS.Reputation.1”,Symantec Endpoint 删除了 VB6 IDE
【发布时间】:2018-05-14 12:15:44
【问题描述】:

我团队中的一个人发现他们的 VB6 IDE 不再工作。我们最终意识到文件 VB6.EXE(来自 C:\Program Files (x86)\Microsoft Visual Studio\VB98丢失,这是因为 Symantec Endpoint Protection (14) 已将其删除,原因是 WS.Reputation.1 (在 Symantec 日志中注明)。

我尝试从另一台 PC 复制回 EXE,您可以在复制后的几秒钟内看到文件从资源管理器中消失。失败。

这只发生在这台 PC 上。这里的每个人都在使用 VB6 并且具有相同的防病毒软件,所以令人困惑的是为什么它只发生在一个人身上。

这台 PC 是否有某些独特的因素导致了这种情况?如果是(或者如果不是......)我们如何解决这个问题?**

其他细节:

  • 新电脑,使用时间约 2 周
  • VB6 之前一直在工作
  • Windows 10
  • Symantec Endpoint 版本 14,企业环境/集中管理

赛门铁克的 WS.Reputation.1 文档:

WS.Reputation.1 是对信誉低的文件的检测 得分基于对赛门铁克用户社区数据的分析和 因此很可能存在安全隐患。这种类型的检测是 基于赛门铁克基于信誉的安全技术。因为这 检测基于信誉分数,它不代表 特定类别的威胁,如广告软件或间谍软件,而是适用 所有威胁类别。

基于声誉的系统使用“群众的智慧”(赛门铁克的 数千万终端用户)连接到基于云的智能 计算应用程序的信誉分数,并在此过程中 以超越传统的全新方式识别恶意软件 签名和基于行为的检测技术。

【问题讨论】:

  • 避免使用赛门铁克产品的另一个理由。反恶意软件基于一种旨在通过巨魔部落和机器人农场进行博弈的机制做出决策的想法是荒谬的。我们从 .Net 巨魔社区获得了足够的信息。
  • 但问题是它不是那样做的,不管他们声称什么。我和一个客户有同样的问题,这个程序存在于地球上的两台机器上,我的和他的。当我在其他安装了完全相同的 Symantec 的机器上对其进行测试时,它运行良好。这显然是基于一些关于应用程序安装方式和位置的内部启发式方法,与任何“声誉”无关。
  • 我想说赛门铁克是我的救命稻草。我从一个阴暗的网站下载了一些后门文件,这些文件感染了我计算机上所有正在运行的文件,而那些受感染的运行文件会感染新的正在运行的文件,使所有我计算机上的文件(exe/dll)已损坏.. 没有病毒扫描程序可以检测到这个病毒不是 Kaspersky/ESET/NOD32/Avast 他们都没有.. 只有赛门铁克,它也是WS.Reputation.1 我不知道是什么样的病毒一直存在,直到我使用 HexCmp 将我的文件与备份文件进行比较,发现它在每个文件的底部添加了一个 PE MZ 标头.. 并损坏了每个文件 EP
  • @SSpoke 我一般并没有贬低赛门铁克。可能是他们现在已经充分改进了对 WSR1 的检测。

标签: vb6 malware symantec


【解决方案1】:

将此误报报告给赛门铁克以妥善解决:

https://submit.symantec.com/false_positive/


我提交给赛门铁克,1-2 天后收到以下回复:

经过进一步分析和调查,我们已经验证了您的 提交并因此检测以下文件 将从我们的产品中删除:

File name: VB6.EXE
MD5: 8AC4F5C29334B3C1B667B92EF860023A
SHA256: 971F73C9AC27EF3D50C1AC36D154674AB3A9957F967BFF6A62D5D18A75CFD910
Note: Whitelisting may take up to 24 hours to take effect via Live Update

既然我认为这是一个真正的全球性变化,也许如果这行得通,它也适用于其他人。然而,如上所述,他们可能只针对这个确切版本的 VB6 可执行文件采取行动。如果其他版本的 VB6 或各种服务包更改了这个 EXE,我不确定这是否会产生影响。

以上信息与带有 SP6 的 VB6 相关,在帮助 > 关于中标记为“版本 9782”。


注意:这似乎确实有效。

【讨论】:

  • 每次我重建 exe 时都必须这样做吗?
  • @anandhu 好问题......如果他们正在处理哈希值(md5 等),那么我会这么认为。但这实际上可能值得作为一个新问题发布。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2010-11-26
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2016-05-02
  • 1970-01-01
  • 2015-04-10
相关资源
最近更新 更多