感染型病毒是用户特别是企业用户最常遇到的病毒种类之一,此类病毒凭借隐蔽的传播特性,可长期感染、盘踞在用户的关键运行程序、重要文件上,造成即使发现病毒也“不敢杀、不会杀、不想杀”的局面,最终任由病毒四处扩散,威胁终端安全。
为此,火绒根据多年累积的处理、解决感染型病毒的实际案例,以及专业的终端安全防范知识,专门总结了感染型病毒的特点、危害,以及使用火绒的有效、彻底查杀办法,包括如何防止重复感染、不损坏文档程序等关键问题,以此帮助广大用户避免因该病毒带来的风险和损失。
目前,感染型病毒特别是老旧的家族,在全网的感染量依旧很大。根据“火绒威胁情报系统”监测和评估,2021年上半年感染型病毒活跃度依旧高涨,其中, Synares、Ramnit两大家族感染终端数量均超过百万。排名前十的感染型病毒家族如下图:
此外,根据“火绒任务处理平台”相关信息反馈,火绒每个月都会收到来自个人和企业用户,关于处理感染型病毒的咨询或求助。
(1)附着“宿主”
感染型病毒入侵终端后,会“寄居”在可执行程序上,包括各类软件、办公文档等,导致用户在查杀的时候投鼠忌器,怕损坏正常程序、文档,因而任由病毒存在。
(2)感染性强
感染型病毒会迅速感染终端上所有可执行文件,导致安全软件频繁报毒,容易让用户以为是误报而选择信任。此外,感染型病毒还会通过邮件、共享文件夹、U盘等各类方式对外传播。因此,如果终端内病毒没有清理干净,就很容易造成其卷土重来的局面。
感染型病毒因为具备隐蔽性、潜伏性,可触发性等等各种特征,所以用户往往不能及时分辨出来。这里,火绒就为各位总结了如何判断中招感染型病毒的办法。判断是否中了感染型病毒,可以通过两个方式:
一是看报毒名,火绒的报毒名以“Virus”开头,遇到后直接查杀即可。(以火绒用户为例)
二是对于大众用户来说,如果很多看似正常的软件都被报毒了,就要留心注意了,这个时候设备内是不是存在了感染型病毒。
此外,值得注意的是,火绒用户可以在火绒信任区查看一下被“信任”过的文件,从而自查是否有感染型病毒混在其中。
一般来说,感染型病毒往往具备以下几个危害特征:
(1)携带恶意代码
可能携带后门、窃取信息、点击器、下载器等相关恶意代码。2019年,火绒发现感染型病毒Ramnit通过淘宝游戏店铺传播,同时能够感染电脑中所有可执行文件和HTML文件,窃取用户上网信息(譬如浏览器cookies等),并且通过这些被感染文件进行重复传播。
(2)恶意损害文件
会导致被感染文件或者程序无法打开,出现“卡死”状态。2020年6月,火绒发现名为“普天同庆”的感染型病毒,可感染知名三维建模和动画软件玛雅的脚本文件,导致制作的场景源文件携带该病毒,用户打开玛雅源文件时陷入“卡死”状态。
此外,火绒安全团队在处理企业问题的时候,更多的是遇到老旧感染型病毒,在企业内网泛滥清除不干净的情况。这些老旧的感染型病毒虽然不再做技术更新,但却因长期存在,也会潜移默化带来恶劣影响:
(1)老旧感染型病毒会影响系统和系统上软件的稳定性,如用户在运行其它的程序,或更新程序后,与病毒产生冲突,从而损坏或无法打开程序,影响工作、业务展开。
火绒接到过某企业用户查杀病毒的求助。经分析发现,为感染型病毒“Spreadoc”,而该病毒早于2013年就出现,并在该企业内长期潜伏数年,最终因为办公文档升级与病毒产生冲突导致打不开,才寻求帮助。
(2)用户特别是企业用户对外发送邮件时携带感染型病毒后,会导致邮件服务商或合作方的安全软件直接拦截查杀,影响业务进程,造成误会。
(3)随着公司规模扩大,病毒感染量也在扩散,导致大量的系统存储空间被病毒占据,且清除病毒的成本也会大大增加。
1、感染前
无论是个人还是企业,都需要具备安全意识。在日常的工作和生活中,也要做到不要接收来历不明的文件,不要打开可疑的链接,不要暴露真实的身份信息,不要访问提示“危险”的网站。
此外,要认识到感染型病毒带来的长期危害,及时部署安全软件,定期进行查杀;也要相信安全软件发出的警示信息,及时查杀病毒。同时,也要定期更新系统和为主机打补丁,修复相应的高危漏洞,让网络病毒无可趁之机。
2、感染后
不在终端上使用U盘等外设,不发送邮件、通过通讯工具传递文档,以免感染其它终端。
部署安全软件进行全网查杀。火绒对于感染型病毒能够安全、有效的查杀,得益于火绒强大的查杀策略与机制:
1、全网部署深度清除,避免重复发作
(1)发现感染型病毒后,可将火绒的【文件实时监控——扫描时机】功能调整为为中、高模式。
(2)进行全盘扫描查杀。
(3)重启后再次全盘扫描一次,避免遗漏。
(4)企业用户注意:需全网部署火绒,避免未安装火绒的终端残存病毒,通过共享网络再次感染全网。
2、火绒只清除病毒,不损坏程序、文档
由于感染型病毒会隐藏在可执行文件、程序中,暴力的删除整个受感染文档文件并不可取,火绒用户请放心查杀,火绒对于此类病毒都会只清除,不损坏文件。实际上,一直以来,火绒都在坚持灵活准确使用删除与清除这两种杀毒方式,可以做到正确识别,正确查杀。
删除病毒,部分病毒能独立传播,因此识别后直接查杀即可;清除病毒,只将附着在正常文件上的病毒去除,不破坏文件。
3、使用火绒全盘查杀病毒的过程中,依旧可运行程序、文档
将火绒的【文件实时监控——扫描时机】功能调至中、高模式后,就可以对运行中的程序、文档进行查杀扫描,并阻止程序、文档中的病毒继续向外感染其它目标,帮助用户在不中断业务、工作的情况下完成全盘扫描。
补充阅读:
(1)火绒小课堂:“正常文件”被频繁报毒?当心是感染型病毒在作祟
(2)“普天同庆”病毒可影响macOS版本玛雅软件 火绒特别推出专杀工具
(3)老病毒借助文档传播活跃七年,目前仅火绒可彻底清除
(4)白担心了 原来火绒这样清除病毒并不会删除文件
(5)火绒安全警报:感染型病毒通过淘宝店传播 窃取用户上网信息
https://www.huorong.cn/info/1560421719221.html