成都科汇科技有限公司
Kehui Technology Co., Ltd.
为此,火绒根据多年累积的处理、解决感染型病毒的实际案例,以及专业的终端安全防范知识,专门总结了感染型病毒的特点、危害,以及使用火绒的有效、**查杀办法,包括如何防止重复感染、不损坏文档程序等关键问题,以此帮助广大用户避免因该病毒带来的风险和损失。
一、百万级感染量
目前,感染型病毒特别是老旧的家族,在全网的感染量依旧很大。根据“火绒威胁情报系统”监测和评估,2021年上半年感染型病毒活跃度依旧高涨,其中, Synares、Ramnit两大家族感染终端数量均超过百万。排名前十的感染型病毒家族如下图:
此外,根据“火绒任务处理平台”相关信息反馈,火绒每个月都会收到来自个人和企业用户,关于处理感染型病毒的咨询或求助。
二、感染型病毒的特点
(1)附着“宿主”
感染型病毒入侵终端后,会“寄居”在可执行程序上,包括各类软件、办公文档等,导致用户在查杀的时候投鼠忌器,怕损坏正常程序、文档,因而任由病毒存在。
(2)感染性强
感染型病毒会迅速感染终端上所有可执行文件,导致安全软件频繁报毒,容易让用户以为是误报而选择信任。此外,感染型病毒还会通过邮件、共享文件夹、U盘等各类方式对外传播。因此,如果终端内病毒没有清理干净,就很容易造成其卷土重来的局面。
三、如何辨认感染型病毒
感染型病毒因为具备隐蔽性、潜伏性,可触发性等等各种特征,所以用户往往不能及时分辨出来。这里,火绒就为各位总结了如何判断中招感染型病毒的办法。判断是否中了感染型病毒,可以通过两个方式:
一是看报毒名,火绒的报毒名以“Virus”开头,遇到后直接查杀即可。(以火绒用户为例)
二是对于大众用户来说,如果很多看似正常的软件都被报毒了,就要留心注意了,这个时候设备内是不是存在了感染型病毒。
此外,值得注意的是,火绒用户可以在火绒信任区查看一下被“信任”过的文件,从而自查是否有感染型病毒混在其中。
四、感染型病毒的危害
一般来说,感染型病毒往往具备以下几个危害特征:
(1)携带恶意代码
可能携带后门、窃取信息、点击器、下载器等相关恶意代码。2019年,火绒发现感染型病毒Ramnit通过淘宝游戏店铺传播,同时能够感染电脑中所有可执行文件和HTML文件,窃取用户上网信息(譬如浏览器cookies等),并且通过这些被感染文件进行重复传播。
(2)恶意损害文件
会导致被感染文件或者程序无法打开,出现“卡死”状态。2020年6月,火绒发现名为“普天同庆”的感染型病毒,可感染知名三维建模和动画软件玛雅的脚本文件,导致制作的场景源文件携带该病毒,用户打开玛雅源文件时陷入“卡死”状态。
此外,火绒安全团队在处理企业问题的时候,更多的是遇到老旧感染型病毒,在企业内网泛滥清除不干净的情况。这些老旧的感染型病毒虽然不再做技术更新,但却因长期存在,也会潜移默化带来恶劣影响:
(1)老旧感染型病毒会影响系统和系统上软件的稳定性,如用户在运行其它的程序,或更新程序后,与病毒产生冲突,从而损坏或无法打开程序,影响工作、业务展开。
火绒接到过某企业用户查杀病毒的求助。经分析发现,为感染型病毒“Spreadoc”,而该病毒早于2013年就出现,并在该企业内长期潜伏数年,*终因为办公文档升级与病毒产生冲突导致打不开,才寻求帮助。
(2)用户特别是企业用户对外发送邮件时携带感染型病毒后,会导致邮件服务商或合作方的安全软件直接拦截查杀,影响业务进程,造成误会。
(3)随着公司规模扩大,病毒感染量也在扩散,导致大量的系统存储空间被病毒占据,且清除病毒的成本也会大大增加。
五、防御办法
1、感染前
无论是个人还是企业,都需要具备安全意识。在日常的工作和生活中,也要做到不要接收来历不明的文件,不要打开可疑的链接,不要暴露真实的身份信息,不要访问提示“危险”的网站。
此外,要认识到感染型病毒带来的长期危害,及时部署安全软件,定期进行查杀;也要相信安全软件发出的警示信息,及时查杀病毒。同时,也要定期更新系统和为主机打补丁,修复相应的高危漏洞,让网络病毒无可趁之机。
2、感染后
不在终端上使用U盘等外设,不发送邮件、通过通讯工具传递文档,以免感染其它终端。
六、火绒的有效查杀策略
部署安全软件进行全网查杀。火绒对于感染型病毒能够安全、有效的查杀,得益于火绒强大的查杀策略与机制:
1、全网部署深度清除,避免重复发作
(1)发现感染型病毒后,可将火绒的【文件实时监控——扫描时机】功能调整为为中、高模式。
(2)进行全盘扫描查杀。
(3)重启后再次全盘扫描一次,避免遗漏。
(4)企业用户注意:需全网部署火绒,避免未安装火绒的终端残存病毒,通过共享网络再次感染全网。
2、火绒只清除病毒,不损坏程序、文档
由于感染型病毒会隐藏在可执行文件、程序中,暴力的删除整个受感染文档文件并不可取,火绒用户请放心查杀,火绒对于此类病毒都会只清除,不损坏文件。实际上,一直以来,火绒都在坚持灵活准确使用删除与清除这两种杀毒方式,可以做到正确识别,正确查杀。
清除和删除的区别
删除病毒,部分病毒能独立传播,因此识别后直接查杀即可;清除病毒,只将附着在正常文件上的病毒去除,不破坏文件。
3、使用火绒全盘查杀病毒的过程中,依旧可运行程序、文档
将火绒的【文件实时监控——扫描时机】功能调至中、高模式后,就可以对运行中的程序、文档进行查杀扫描,并阻止程序、文档中的病毒继续向外感染其它目标,帮助用户在不中断业务、工作的情况下完成全盘扫描。
如果您的终端遭遇该病毒,也可以通过以下方式与火绒联系获得专业及时的帮助。
1、拨打电话400-998-3555
2、通过火绒官方论坛反馈
3、邮箱:seclab@huorong.cn
4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。
IT解决方案:
移动办公安全解决方案 移动应用安全解决方案
在线业务优化解决方案 在线业务安全解决方案
企业数据安全解决方案 分支组网优化解决方案
业务容灾备份解决方案 互联网安全管控解决方案
新型智慧城市解决方案 政务数据中心建设方案
政务专网建设解决方案 互联网安全优化方案
政务移动安全接入方案
业务全网等级保护三级整改建设案例
业务内网等级保护三级整改建设案例
电子政务专网应用加速及传输优化解决方案
政府信息中心上网行为管理解决方案
企业办公无线解决方案 电子商务网站优化解决方案
企业办公桌面云解决方案 数字校园解决方案
桌面云解决方案 数字图书馆解决方案
业务与支撑系统安全 随势而变的ICT
云资源池安全与优化 广电网络解决方案
网络安全等级保护(等保2.0)解决方案
等保一体机解决方案 云安全解决方案
进程管理
以列表或树型展示系统中全部活跃以及非活跃进程信息,并允许用户对其进行操作(强制结束进程、提取内存字符串等)包括:
进程ID、会话ID、全路径、命令行、当前路径、等基本信息;
进程线程信息;
进程模块信息;
进程打开的句柄列表;
进程相关的网络连接信息;
进程产生的网络流量数据;
以不同颜色区分活跃和非活跃进程;
可以定位进程对应程序文件及查看文件属性;
对活跃进程可以进行结束、挂起、恢复操作;
可以关闭进程打开的句柄;
可以提取进程、模块的内存映像或文件中的全部字符串;
可以搜索系统中全部打开的句柄和加载的模块;
启动项管理
可以扫描系统中的启动项,并可以对扫描到的启动项进行禁用、启动和删除;
支持扫描以下类型启动项:
登录类(Logon)
浏览器类(Explorer)
IE浏览器类(Internet Explorer)
系统服务类(Services)
内核驱动类(Drivers)
解码器类(Codecs)
Winsock提供者类(Winsock Providers)
打印提供者类(Print Monitors)
本地安全认证类(LSA Providers)
网络提供者类(Network Providers)
启动执行类(Boot Execute)
映像劫持类(Image Hijacks)
AppInit类(AppInit)
已知动态库类(KnownDLLs)
Winlogon类(Winlogon)
输入法类(IME)
计划任务类(Scheduled Tasks)
内核诊断信息
内核
内核诊断信息包括以下内核信息:
驱动(设备树)信息(Driver Information)
系统服务表(Service Dispatch Table)
内核通知信息(Kernel Notify)
中断描述符表(Interrupt Table)
高亮提示被修改的内核信息;
钩子扫描
扫描内核态IAT、Inline钩子;
扫描用户态IAT、Inline钩子;
可以对指定进程进行快速扫描;
对扫描到的钩子进行指令分析识别多级跳转类型的钩子;
服务管理
查看操作系统中已注册的服务,并可以对其进行查看文件目录,文件属性,定位注册表,启动停止的控制;
驱动扫描
显示操作系统中已注册的驱动,并可以对其进行查看文件目录,文件属性,定位注册表的操作;
网络监控
显示操作系统中正在进行联网行为的进程,并可以对其进行查看文件,文件属性,结束进程的控制;
文件修改
文件修改 诊断工具文件操作
文件修改 诊断工具文件操作
查看已识别的可用文件驱动器内文件,并可以高权限对其进行强制修改删除等操作; [4]
注册表编辑
查看操作系统内的注册表文件,并可以高权限对其进行强制修改删除等操作;
注册表修改
支持地址栏对目标键值的快速定位;
服务区域:
四川火绒 成都火绒 西藏火绒 重庆火绒贵州火绒 贵阳火绒 云南火绒 昆明火绒
四川synology: 德阳火绒 绵阳火绒,攀枝花火绒,西昌火绒,雅安火绒,内江火绒,资阳火绒,南充火绒,眉山火绒,乐山火绒,自贡火绒 泸州火绒 广元火绒 遂宁火绒 宜宾火绒 广安火绒 达州火绒 雅安火绒 巴中火绒 资阳火绒 攀枝花火绒 凉山彝族自治州火绒 甘孜藏族自治州火绒 阿坝藏族羌族自治州火绒
贵州火绒:贵阳火绒 、六盘水火绒、遵义火绒、安顺火绒、铜仁火绒、毕节火绒。 黔南火绒 、黔西南火绒、贵州黔东南火绒
重庆火绒 合川火绒 南川火绒
潼南火绒 铜梁火绒 长寿火绒 璧山火绒 荣昌火绒 綦江火绒 大足火绒 武隆火绒 垫江火绒 奉节火绒
丰都火绒 城口火绒 巫溪火绒 云阳火绒 酉阳火绒 巫山火绒 梁平火绒 彭水火绒 秀山火绒 石柱火绒 开县火绒
昆明火绒、曲靖火绒、玉溪火绒、 保山火绒 、昭通火绒 、丽江火绒 、普洱火绒、 临沧火绒。
文山壮族苗族自治州(文山火绒) 、红河哈尼族彝族自治州(红河火绒) 、西双版纳傣族自治州、(西双版纳火绒) 楚雄彝族自治州(楚雄火绒)、 大理白族自治州(大理火绒)、 德宏傣族景颇族自治州(德宏火绒)、 怒江傈僳族自治州(怒江火绒)、 迪庆藏族自治州(迪庆火绒)
四川 成都 火绒 代理:
火绒成都渠道代理商有哪些;火绒渠道代理商有哪些;火绒nat代理上网;火绒代理商资质查询;火绒总代怎么样;火绒的渠道有哪些;火绒**代理;火绒成都**经销商;火绒四川**经销商;火绒**代理商;火绒** 成都火绒科技有限公司
火绒科技成都分公司 火绒成都区主管是谁 火绒成都
火绒成都办事处 火绒成都网络安全
火绒成都代理商有哪些 火绒成都防火墙
火绒 防火墙 上网行为管理 具体版本:
火绒维修,以及更多产品和详情请咨询:
成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商
无论您是解决企业级安全、云计算,还是IT基础架构,都可以使您的IT更简单、更安全、更有价值
成都科汇科技有限公司
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
QQ:1325383361
手机:180 8195 0517(微信同号)