百万级感染量 感染型病毒猖狂在哪里？附火绒有效查杀方式

为此，火绒根据多年累积的处理、解决感染型病毒的实际案例，以及专业的终端安全防范知识，专门总结了感染型病毒的特点、危害，以及使用火绒的有效、彻底查杀办法，包括如何防止重复感染、不损坏文档程序等关键问题，以此帮助广大用户避免因该病毒带来的风险和损失。

一、百万级感染量

目前，感染型病毒特别是老旧的家族，在全网的感染量依旧很大。根据“火绒威胁情报系统”监测和评估，2021年上半年感染型病毒活跃度依旧高涨，其中， Synares、Ramnit两大家族感染终端数量均超过百万。排名前十的感染型病毒家族如下图：

此外，根据“火绒任务处理平台”相关信息反馈，火绒每个月都会收到来自个人和企业用户，关于处理感染型病毒的咨询或求助。

二、感染型病毒的特点

（1）附着“宿主”

感染型病毒入侵终端后，会“寄居”在可执行程序上，包括各类软件、办公文档等，导致用户在查杀的时候投鼠忌器，怕损坏正常程序、文档，因而任由病毒存在。

（2）感染性强

感染型病毒会迅速感染终端上所有可执行文件，导致安全软件频繁报毒，容易让用户以为是误报而选择信任。此外，感染型病毒还会通过邮件、共享文件夹、U盘等各类方式对外传播。因此，如果终端内病毒没有清理干净，就很容易造成其卷土重来的局面。

三、如何辨认感染型病毒

感染型病毒因为具备隐蔽性、潜伏性，可触发性等等各种特征，所以用户往往不能及时分辨出来。这里，火绒就为各位总结了如何判断中招感染型病毒的办法。判断是否中了感染型病毒，可以通过两个方式：

一是看报毒名，火绒的报毒名以“Virus”开头，遇到后直接查杀即可。（以火绒用户为例）

二是对于大众用户来说，如果很多看似正常的软件都被报毒了，就要留心注意了，这个时候设备内是不是存在了感染型病毒。

此外，值得注意的是，火绒用户可以在火绒信任区查看一下被“信任”过的文件，从而自查是否有感染型病毒混在其中。

四、感染型病毒的危害

一般来说，感染型病毒往往具备以下几个危害特征：

（1）携带恶意代码

可能携带后门、窃取信息、点击器、下载器等相关恶意代码。2019年，火绒发现感染型病毒Ramnit通过淘宝游戏店铺传播，同时能够感染电脑中所有可执行文件和HTML文件，窃取用户上网信息（譬如浏览器cookies等），并且通过这些被感染文件进行重复传播。

（2）恶意损害文件

会导致被感染文件或者程序无法打开，出现“卡死”状态。2020年6月，火绒发现名为“普天同庆”的感染型病毒，可感染知名三维建模和动画软件玛雅的脚本文件，导致制作的场景源文件携带该病毒，用户打开玛雅源文件时陷入“卡死”状态。

此外，火绒安全团队在处理企业问题的时候，更多的是遇到老旧感染型病毒，在企业内网泛滥清除不干净的情况。这些老旧的感染型病毒虽然不再做技术更新，但却因长期存在，也会潜移默化带来恶劣影响：

（1）老旧感染型病毒会影响系统和系统上软件的稳定性，如用户在运行其它的程序，或更新程序后，与病毒产生冲突，从而损坏或无法打开程序，影响工作、业务展开。

火绒接到过某企业用户查杀病毒的求助。经分析发现，为感染型病毒“Spreadoc”，而该病毒早于2013年就出现，并在该企业内长期潜伏数年，最终因为办公文档升级与病毒产生冲突导致打不开，才寻求帮助。

（2）用户特别是企业用户对外发送邮件时携带感染型病毒后，会导致邮件服务商或合作方的安全软件直接拦截查杀，影响业务进程，造成误会。

（3）随着公司规模扩大，病毒感染量也在扩散，导致大量的系统存储空间被病毒占据，且清除病毒的成本也会大大增加。

五、防御办法

1、感染前

无论是个人还是企业，都需要具备安全意识。在日常的工作和生活中，也要做到不要接收来历不明的文件，不要打开可疑的链接，不要暴露真实的身份信息，不要访问提示“危险”的网站。

此外，要认识到感染型病毒带来的长期危害，及时部署安全软件，定期进行查杀；也要相信安全软件发出的警示信息，及时查杀病毒。同时，也要定期更新系统和为主机打补丁，修复相应的高危漏洞，让网络病毒无可趁之机。

2、感染后

不在终端上使用U盘等外设，不发送邮件、通过通讯工具传递文档，以免感染其它终端。

六、火绒的有效查杀策略

部署安全软件进行全网查杀。火绒对于感染型病毒能够安全、有效的查杀，得益于火绒强大的查杀策略与机制：

1、全网部署深度清除，避免重复发作

（1）发现感染型病毒后，可将火绒的【文件实时监控——扫描时机】功能调整为为中、高模式。

（2）进行全盘扫描查杀。

（3）重启后再次全盘扫描一次，避免遗漏。

（4）企业用户注意：需全网部署火绒，避免未安装火绒的终端残存病毒，通过共享网络再次感染全网。

2、火绒只清除病毒，不损坏程序、文档

由于感染型病毒会隐藏在可执行文件、程序中，暴力的删除整个受感染文档文件并不可取，火绒用户请放心查杀，火绒对于此类病毒都会只清除，不损坏文件。实际上，一直以来，火绒都在坚持灵活准确使用删除与清除这两种杀毒方式，可以做到正确识别，正确查杀。

清除和删除的区别

删除病毒，部分病毒能独立传播，因此识别后直接查杀即可；清除病毒，只将附着在正常文件上的病毒去除，不破坏文件。

3、使用火绒全盘查杀病毒的过程中，依旧可运行程序、文档

将火绒的【文件实时监控——扫描时机】功能调至中、高模式后，就可以对运行中的程序、文档进行查杀扫描，并阻止程序、文档中的病毒继续向外感染其它目标，帮助用户在不中断业务、工作的情况下完成全盘扫描。

如果您的终端遭遇该病毒，也可以通过以下方式与火绒联系获得专业及时的帮助。

1、拨打电话400-998-3555

2、通过火绒官方论坛反馈

3、邮箱：seclab@huorong.cn

4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。