我用苏里卡塔作为本地网络上的 IDS,它不连接互联网。它记录了一些来自某些客户端的警报,这些警报表示A Network Trojan was detected。所有日志的属性如下:
协议:006
来源:客户端 IP
目的地:服务器 IP
签名:ET POLICY SMB2 NT 为临时目录中的可执行文件创建 AndX 请求。
签名 ID:1:2025703:2
类别:检测到网络木马
我已经更新了卡巴斯基防病毒软件,并且我也更新了 Malwarebytes,但是,他们没有检测到任何木马。
问题:
这是一个误报还是可能是反恶意软件无法检测到的真正木马?
服务器操作系统:Windows Server 2012。
客户端操作系统:Windows 7 和 10。
我使用 Suricata 默认规则。