2008技術通報 - OSCE 8.0如何針對Possible Virus設定處理行動
企業用戶在使用OfficeScan 8.0的時候,是否偶爾會發現OfficeScan偵測到名為Possible_xxxx類型的病毒,處理行動卻顯示暫不處理。命名為Possible開頭的病毒名稱到底是什麼樣類型的病毒?為何OfficeScan無法處理這類型的病毒?碰到這樣的問題用戶該如何處理 ?
其實,Possible開頭的病毒顧名思義就是疑似病毒的檔案,由於病毒的變種日新月異,每天都會發現上百隻的新變種病毒,造成使用者的困擾,於是,趨勢科技著手深入研究病毒的特徵碼與特性,嘗試開發新的偵測技術,以便提高變種病毒的偵測能力。當發現有類似特徵的檔案時,OfficeScan便能偵測並提醒用戶可能受到疑似病毒的感染,能夠及早處理。
有用戶會有疑問,既然已經被OfficeScan用戶端偵測到了,為何使用8.0版本的用戶會顯示處理行動為暫不處理?事實上,因為這類型的病毒碼屬於智慧型偵測,有可能產生誤判的狀況,因此這類型的病毒預設的處理行動均設定為暫不處理,避免因為誤判而執行的處理行動影響用戶正常的操作。
如果使用OfficeScan 8.0的用戶確定偵測到的檔案並非一般正常檔案,您可以參考本期的技術通報,安裝修正程式,便可針對Possible類型的病毒自訂處理行動
Step1:安裝OSCE 8.0 Hotfix 1195.1
(註:必須先安裝OfficeScan 8.0 Patch2後再安裝此Hotfix)
請點選下列連結下載Hotfix 1195.1
將下載的檔案存至OfficeScan 8.0 伺服器上
解壓縮後執行OSCE_8.0_WIN_TC_HFB1195.1.exe或OSCE_8.0_WIN_EN_HFB1195.1.exe(視所使用的語言版本而定)
Step2 :修改../Program Files/Trend Micro/OfficeScan/PCCSRV/ofcscan.ini
使用記事本或其他文字檔編輯程式開啟../Program Files/Trend Micro/OfficeScan/PCCSRV/ofcscan.ini
在[Global Setting]的區塊下新增兩個參數:
1stActForGenericVirus={x}
2ndActForGenericVirus={y}
x指的是第一次的處理行動
y指的是第二次的處理行動
下列數字代表各種處理行動的方式
0 - 暫不處理 (永久的)
1 - 重新命名
2 - 隔離
3 - 清除
4 - 刪除
5 - 暫不處理 (暫時的) - 此為OfficeScan 8.0針對Possible Virus預設的處理行動
倘若要設定第一處理行動為清除,第二處理行動為隔離
參數設定如下:
[Global Setting]
1stActForGenericVirus=3
2ndActForGenericVirus=2
修改好後存檔
Step3:進入OfficeScan主控台部署設定
進入OfficeScan 8.0的主控台後點選"用戶端" > "全域用戶端設定"
直接按"儲存"按紐
Step4:檢查用戶端是否套用到新設定
到..\Program Files\Trend Micro\OfficeScan Client下尋找檔案名為Setting.ini
使用記事本或其他文字檔編輯程式開啟Setting.ini
確認[Global Setting]區塊下是否有先前修改的參數
有出現就表示部署成功
之後用戶端偵測到Possible_xxxx類型的病毒檔案就會依照管理者所設定的處理行動處理
請注意此設定只適用於OfficeScan 8.0用戶
OfficeScan 7.x的用戶可直接在掃描選項設定Possible類型病毒的處理行動
