前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >百万级感染量 感染型病毒猖狂在哪里?附火绒有效查杀方式

百万级感染量 感染型病毒猖狂在哪里?附火绒有效查杀方式

作者头像
用户6477171
修改2024-04-22 17:21:35
1.7K0
修改2024-04-22 17:21:35
举报
文章被收录于专栏:用户6477171的专栏
感染型病毒是用户特别是企业用户最常遇到的病毒种类之一,此类病毒凭借隐蔽的传播特性,可长期感染、盘踞在用户的关键运行程序、重要文件上,造成即使发现病毒也“不敢杀、不会杀、不想杀”的局面,最终任由病毒四处扩散,威胁终端安全。

为此,火绒根据多年累积的处理、解决感染型病毒的实际案例,以及专业的终端安全防范知识,专门总结了感染型病毒的特点、危害,以及使用火绒的有效、彻底查杀办法,包括如何防止重复感染、不损坏文档程序等关键问题,以此帮助广大用户避免因该病毒带来的风险和损失。

一、百万级感染量

目前,感染型病毒特别是老旧的家族,在全网的感染量依旧很大。根据“火绒威胁情报系统”监测和评估,2021年上半年感染型病毒活跃度依旧高涨,其中, Synares、Ramnit两大家族感染终端数量均超过百万。排名前十的感染型病毒家族如下图:

此外,根据“火绒任务处理平台”相关信息反馈,火绒每个月都会收到来自个人和企业用户,关于处理感染型病毒的咨询或求助。

二、感染型病毒的特点

(1)附着“宿主”

感染型病毒入侵终端后,会“寄居”在可执行程序上,包括各类软件、办公文档等,导致用户在查杀的时候投鼠忌器,怕损坏正常程序、文档,因而任由病毒存在。

(2)感染性强

感染型病毒会迅速感染终端上所有可执行文件,导致安全软件频繁报毒,容易让用户以为是误报而选择信任。此外,感染型病毒还会通过邮件、共享文件夹、U盘等各类方式对外传播。因此,如果终端内病毒没有清理干净,就很容易造成其卷土重来的局面。

三、如何辨认感染型病毒

感染型病毒因为具备隐蔽性、潜伏性,可触发性等等各种特征,所以用户往往不能及时分辨出来。这里,火绒就为各位总结了如何判断中招感染型病毒的办法。判断是否中了感染型病毒,可以通过两个方式:

一是看报毒名,火绒的报毒名以“Virus”开头,遇到后直接查杀即可。(以火绒用户为例)

二是对于大众用户来说,如果很多看似正常的软件都被报毒了,就要留心注意了,这个时候设备内是不是存在了感染型病毒。

此外,值得注意的是,火绒用户可以在火绒信任区查看一下被“信任”过的文件,从而自查是否有感染型病毒混在其中。

四、感染型病毒的危害

一般来说,感染型病毒往往具备以下几个危害特征:

(1)携带恶意代码

可能携带后门、窃取信息、点击器、下载器等相关恶意代码。2019年,火绒发现感染型病毒Ramnit通过淘宝游戏店铺传播,同时能够感染电脑中所有可执行文件和HTML文件,窃取用户上网信息(譬如浏览器cookies等),并且通过这些被感染文件进行重复传播。

(2)恶意损害文件

会导致被感染文件或者程序无法打开,出现“卡死”状态。2020年6月,火绒发现名为“普天同庆”的感染型病毒,可感染知名三维建模和动画软件玛雅的脚本文件,导致制作的场景源文件携带该病毒,用户打开玛雅源文件时陷入“卡死”状态。

此外,火绒安全团队在处理企业问题的时候,更多的是遇到老旧感染型病毒,在企业内网泛滥清除不干净的情况。这些老旧的感染型病毒虽然不再做技术更新,但却因长期存在,也会潜移默化带来恶劣影响:

(1)老旧感染型病毒会影响系统和系统上软件的稳定性,如用户在运行其它的程序,或更新程序后,与病毒产生冲突,从而损坏或无法打开程序,影响工作、业务展开。

火绒接到过某企业用户查杀病毒的求助。经分析发现,为感染型病毒“Spreadoc”,而该病毒早于2013年就出现,并在该企业内长期潜伏数年,最终因为办公文档升级与病毒产生冲突导致打不开,才寻求帮助。

(2)用户特别是企业用户对外发送邮件时携带感染型病毒后,会导致邮件服务商或合作方的安全软件直接拦截查杀,影响业务进程,造成误会。

(3)随着公司规模扩大,病毒感染量也在扩散,导致大量的系统存储空间被病毒占据,且清除病毒的成本也会大大增加。

五、防御办法

1、感染前

无论是个人还是企业,都需要具备安全意识。在日常的工作和生活中,也要做到不要接收来历不明的文件,不要打开可疑的链接,不要暴露真实的身份信息,不要访问提示“危险”的网站。

此外,要认识到感染型病毒带来的长期危害,及时部署安全软件,定期进行查杀;也要相信安全软件发出的警示信息,及时查杀病毒。同时,也要定期更新系统和为主机打补丁,修复相应的高危漏洞,让网络病毒无可趁之机。

2、感染后

不在终端上使用U盘等外设,不发送邮件、通过通讯工具传递文档,以免感染其它终端。

六、火绒的有效查杀策略

部署安全软件进行全网查杀。火绒对于感染型病毒能够安全、有效的查杀,得益于火绒强大的查杀策略与机制:

1、全网部署深度清除,避免重复发作

(1)发现感染型病毒后,可将火绒的【文件实时监控——扫描时机】功能调整为为中、高模式。

(2)进行全盘扫描查杀。

(3)重启后再次全盘扫描一次,避免遗漏。

(4)企业用户注意:需全网部署火绒,避免未安装火绒的终端残存病毒,通过共享网络再次感染全网。

2、火绒只清除病毒,不损坏程序、文档

由于感染型病毒会隐藏在可执行文件、程序中,暴力的删除整个受感染文档文件并不可取,火绒用户请放心查杀,火绒对于此类病毒都会只清除,不损坏文件。实际上,一直以来,火绒都在坚持灵活准确使用删除与清除这两种杀毒方式,可以做到正确识别,正确查杀。

清除和删除的区别

删除病毒,部分病毒能独立传播,因此识别后直接查杀即可;清除病毒,只将附着在正常文件上的病毒去除,不破坏文件。

3、使用火绒全盘查杀病毒的过程中,依旧可运行程序、文档

将火绒的【文件实时监控——扫描时机】功能调至中、高模式后,就可以对运行中的程序、文档进行查杀扫描,并阻止程序、文档中的病毒继续向外感染其它目标,帮助用户在不中断业务、工作的情况下完成全盘扫描。

如果您的终端遭遇该病毒,也可以通过以下方式与火绒联系获得专业及时的帮助。

1、拨打电话400-998-3555

2、通过火绒官方论坛反馈

3、邮箱:seclab@huorong.cn

4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-05-31,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 火绒安全实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
高级威胁追溯系统
腾讯高级威胁追溯系统(Advanced Threat Tracking System,ATTS)由腾讯安全团队构建的高级威胁追溯平台,旨在帮助用户通过该平台进行线索研判,攻击定性和关联分析,追溯威胁源头,有效预测威胁的发生并及时预警。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档