毒問題
使用火絨進(jìn)行查殺后,可能會發(fā)現(xiàn)以下企業(yè)內(nèi)常見病毒,此節(jié)內(nèi)容主要介紹此類常見病毒的傳播、危害、識別方式。
1.勒索病毒: 勒索病毒主要通過RDP、釣魚郵件、漏洞攻擊等方式進(jìn)行傳播。勒索病毒成功運(yùn)行后,會根據(jù)病毒內(nèi)的規(guī)則,加密所有符合條件的文件。因勒索病毒多使用非對稱加密算法,在沒有獲取到密鑰的情況下無法解密,中毒后損失較大。此類病毒被火絨查殺時(shí),報(bào)毒名稱為Ransom/病毒名。需要注意的是以RDP弱口令為主要傳播方式的勒索病毒,黑客在獲取到Windows賬戶的密碼后,通過”遠(yuǎn)程桌面”登錄到企業(yè)內(nèi),在成功登陸后,會尋找高價(jià)值服務(wù)器(文件服務(wù)器、OA、業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫),加密其中文件進(jìn)行勒索。火絨企業(yè)版對該傳播方式有額外的防護(hù)措施,但除了部署安全軟件,您也可以按照我們提供的《部署火絨后的安全加固建議》文檔,對火絨和Windows進(jìn)行有針對性的配置,以提高安全性。
2.感染型病毒: 感染型病毒是企業(yè)內(nèi)常見病毒,此類病毒多會感染可執(zhí)行文件,導(dǎo)致在用戶在使用被感染的軟件時(shí),病毒會先運(yùn)行,以達(dá)到在系統(tǒng)內(nèi)常駐的目的,并會通過可移動(dòng)設(shè)備,文件共享等渠道傳播。此類病毒被火絨查殺時(shí),報(bào)毒名稱為”Virus/病毒名”,例如”Virus/Ramnit”、”Virus/Sality”等。發(fā)現(xiàn)此類病毒后,需要進(jìn)行全盤查殺,查殺前修改火絨掃描時(shí)機(jī)(監(jiān)控級別),全盤掃描時(shí)盡量不要運(yùn)行其他程序。
在處理病毒時(shí),如該文件為被感染程序,火絨會清除文件內(nèi)的病毒代碼,修復(fù)該文件,如文件是病毒本體、被感染導(dǎo)致文件損壞、無法寫入等情況,火絨會刪除該文件(文件在C:\windows目錄下,如文件無法清除需要?jiǎng)h除,為了保持系統(tǒng)穩(wěn)定,火絨不會主動(dòng)刪除文件該文件,日志內(nèi)會顯示處理失敗),如不確認(rèn)是否可以清除,可與我們?nèi)〉寐?lián)系幫您進(jìn)行判定。
3.挖礦病毒: 挖礦病毒已經(jīng)是企業(yè)內(nèi)最常見的病毒之一,此類病毒運(yùn)行時(shí)會大量占用系統(tǒng)資源,影響企業(yè)內(nèi)的業(yè)務(wù),妨礙員工辦公。挖礦病毒的傳播方式較多,企業(yè)內(nèi)常見的傳播方式有內(nèi)網(wǎng)橫向傳播、軟件安裝包攜帶、黑客入侵投放等。火絨查殺到此類病毒時(shí),報(bào)毒名稱多為”Trojan/挖礦程序名”,例如”Trojan/CoinMiner”、”Trojan/JS.CoinMiner”。正常情況下,電腦內(nèi)發(fā)現(xiàn)此類病毒只需要用火絨終端掃描查殺即可,在查殺結(jié)束后需要重啟。因挖礦病毒多會攜帶其他模塊,例如利用永恒之藍(lán)進(jìn)行傳播的模塊等,所以在查殺挖礦病毒時(shí),除了挖礦組件外,還可能會查殺到報(bào)毒名為”Exploit/EquationDrug”或”HackTool/EquationDrug”的其他功能模塊。
4.黑客工具: 火絨對黑客工具的定義為”可以被黑客利用,用來控制用戶計(jì)算機(jī)或發(fā)起網(wǎng)絡(luò)攻擊的工具程序”,包括挖礦工具、端口掃描工具、ARK工具、遠(yuǎn)程控制工具等。在查殺到此類程序時(shí),火絨的報(bào)毒名稱多為”HackTool/工具名”,例如”HackTool/PowerTool.a”、”HackTool/PortScan.a”等,在企業(yè)環(huán)境內(nèi),發(fā)現(xiàn)此類工具多是遭受攻擊,黑客試圖使用此類工具繼續(xù)對內(nèi)網(wǎng)進(jìn)行滲透時(shí)被火絨攔截。在企業(yè)內(nèi)查殺到此類工具,如并非為企業(yè)內(nèi)常用工具或運(yùn)維人員所用工具,需及時(shí)進(jìn)行排查,對所查殺工具的來源與作用進(jìn)行確認(rèn)。也可直接與火絨安全進(jìn)行聯(lián)系,協(xié)助您進(jìn)行排查。
5.廣告程序: 廣告程序會通過多種途徑進(jìn)入系統(tǒng),多為未經(jīng)用戶允許便進(jìn)行安裝(捆綁安裝攜帶、軟件自身的廣告組件等)。運(yùn)行時(shí)多會通過彈出式廣告、劫持瀏覽器主頁、暗刷等方式盈利,對用戶日常的電腦使用,辦公等造成影響。此類程序被火絨查殺時(shí),報(bào)毒名稱為”Adware/名稱”,例如”Adware/FakeAV.ks”、”Adware/PuddingZip.g”等。火絨在查殺此類程序時(shí),只會處理該程序的廣告模塊,不會影響該程序的正常使用,但是會出現(xiàn)該軟件升級時(shí),將廣告模塊恢復(fù)的情況,會導(dǎo)致火絨對此文件頻繁查殺。出現(xiàn)此類情況時(shí),如該軟件需要繼續(xù)使用,建議您將相關(guān)文件添加到白名單,如此程序并非您主動(dòng)安裝(捆綁),或不需要使用,建議您進(jìn)行卸載。對于軟件的彈窗廣告,火絨提供了安全工具”彈窗攔截”,可阻止此類窗口出現(xiàn)。
非病毒問題
1.漏洞掃描: 使用火絨”漏洞修復(fù)”功能,掃描并修復(fù)Windows漏洞時(shí),可能因?yàn)槎喾N原因?qū)е卵a(bǔ)丁下載或安裝失敗,該小節(jié)內(nèi)容為常見的”漏洞修復(fù)”問題與處理辦法。 1、火絨”漏洞修復(fù)”掃描出的補(bǔ)丁數(shù)量,與”Windows Update”提供的補(bǔ)丁數(shù)量不一致 火絨默認(rèn)不推送部分功能性補(bǔ)丁,例如IE跨版本升級(如IE10升級到IE11)、.Net跨版本升級、語言包等,除減少了功能性補(bǔ)丁外,微軟提供的補(bǔ)丁部分存在包含與替代關(guān)系,火絨會根據(jù)測試后的情況,調(diào)整規(guī)則庫,在高危漏洞全部安裝的情況下,調(diào)整被替代的補(bǔ)丁推送,所以會比系統(tǒng)推送的補(bǔ)丁數(shù)量少。 2、補(bǔ)丁”下載失敗”
此問題多為網(wǎng)絡(luò)環(huán)境異常導(dǎo)致,如需要安裝補(bǔ)丁的電腦可以訪問網(wǎng)絡(luò),可以嘗試ping以下地址:download.windowsupdate.comdownload.microsoft.com如無法ping通,需要排查網(wǎng)絡(luò)是否存在故障,若網(wǎng)絡(luò)環(huán)境無異常依舊下載失敗,可聯(lián)系火絨協(xié)助您排查該問題。需要修復(fù)漏洞的電腦是內(nèi)網(wǎng),無法于微軟服務(wù)器下載補(bǔ)丁,此時(shí)需要檢查”火絨中心”是否能夠連接戶聯(lián)網(wǎng)。在火絨中心可以訪問網(wǎng)絡(luò)的情況下,需要修改”火絨中心->漏洞修復(fù)”功能設(shè)置,勾選從中心下載補(bǔ)丁。
火絨中心也部署在內(nèi)網(wǎng)的情況下,需要使用”離線升級工具”,相關(guān)使用方法可以查看使用文檔。
3、補(bǔ)丁”安裝失敗” 出現(xiàn)補(bǔ)丁”安裝失敗”的情況,多為系統(tǒng)環(huán)境內(nèi),更新相關(guān)環(huán)境、組件、服務(wù)出現(xiàn)異常。當(dāng)您出現(xiàn)此類問題時(shí),可與我們?nèi)〉寐?lián)系,幫您找到補(bǔ)丁安裝失敗的原因,并提供解決方案。
2.軟件沖突: a).透明加密軟件企業(yè)內(nèi)在使用透明加密軟件(防泄密程序)時(shí),常會遇到宏病毒在掃描時(shí)不報(bào)毒,打開文件時(shí)火絨提示存在宏病毒。出現(xiàn)此問題的原因?yàn)椋惭b防泄密軟件后,被保護(hù)的文檔內(nèi)容被加密,只有使用防泄密軟件允許的程序打開(Office Word、WPS等)該文件,或事先使用該軟件解密文件內(nèi)容后,文檔內(nèi)容才可以被其他軟件正常訪問。當(dāng)您遇到此類問題時(shí),如該防泄密軟件有白名單功能,可先將火絨目錄下的可執(zhí)行程序添加到白名單(HipsDaemon.exe\HipsMain.exe\HipsTray.exe)后,再次掃描查看問題是否解決。如該防泄密程序沒有白名單功能,或添加白名單后依舊無法正常進(jìn)行掃描,可聯(lián)系防泄密程序廠商與火絨安全,共同解決此問題。
其他問題
1.藍(lán)屏: 火絨使用過程中出現(xiàn)藍(lán)屏問題時(shí),需要提取該電腦上的藍(lán)屏dump并上傳,我們會幫您分析藍(lán)屏原因dump文件位置:%SystemRoot%\Memory.dmp%SystemRoot%\Minidump*.dmp(根據(jù)日期命名)如此目錄下沒有發(fā)現(xiàn)相關(guān)文件,可以檢查以下設(shè)置。打開運(yùn)行,輸入”systempropertIEsadvanced”,打開”高級系統(tǒng)設(shè)置”。
點(diǎn)擊”高級->啟動(dòng)和故障恢復(fù)->設(shè)置”,按照圖片進(jìn)行設(shè)置。如沒有”自動(dòng)內(nèi)存轉(zhuǎn)儲”選項(xiàng),可根據(jù)需求選擇”核心內(nèi)存轉(zhuǎn)儲(推薦)”、”最小內(nèi)存轉(zhuǎn)儲”、”完全內(nèi)存轉(zhuǎn)儲”。
2.惡意網(wǎng)址攔截: 火絨終端部署后,根據(jù)局域網(wǎng)內(nèi)狀況不同,可能會出現(xiàn)大量”惡意網(wǎng)址攔截日志”,此小節(jié)列出企業(yè)內(nèi)較常見的被攔截網(wǎng)址,并提供解決方案。kuaizip.comkpzip.com出現(xiàn)以上網(wǎng)址的攔截,是因您電腦中安裝了快壓導(dǎo)致,可根據(jù)您的需求選擇是否繼續(xù)使用或卸載該軟件。相關(guān)報(bào)告:知名壓縮軟件”快壓”傳播病毒和多款流氓軟件 劫持流量down.sgshurufa.comdown.znshuru.comdownsrf.eastday.comd.wn51.comdown.shusw.comchlbiz.com出現(xiàn)以上網(wǎng)址的攔截,是因您電腦中安裝了布丁系軟件導(dǎo)致。Clover東方瀏覽器東方輸入法東方頭條萬能瀏覽器萬能看圖萬能五筆智能云五筆輸入法智能云輸入法布丁壓縮布丁桌面水果輸入法
可根據(jù)您的需求選擇是否繼續(xù)使用或卸載該軟件,此類軟件在卸載后有殘留服務(wù)訪問以上網(wǎng)址,重新安裝軟件的行為,如您電腦上未發(fā)現(xiàn)此系列軟件但依舊存在”惡意網(wǎng)址攔截”日志,可聯(lián)系我們幫您進(jìn)行排查。相關(guān)報(bào)告:灰色產(chǎn)業(yè)鏈成病毒傳播最大渠道 流量生意或迎來最后的瘋狂haqo.netbeahh.comabbny.comzer2.comackng.comawcna.comamxy.com出現(xiàn)以上網(wǎng)址的攔截,是因您電腦中存在DTStealer木馬導(dǎo)致,除了攔截網(wǎng)址訪問,可能會同時(shí)出現(xiàn)”隱藏執(zhí)行PowerShell”等攔截日志,關(guān)于此病毒只需使用火絨全盤查殺,重啟即可。相關(guān)報(bào)告: “驅(qū)動(dòng)人生”利用高危漏洞傳播病毒 12月14日半天感染數(shù)萬臺電腦
提交問題 如果您遇到以下情況:a).網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)可疑文件,想要提供給火絨安全進(jìn)行分析。b).系統(tǒng)出現(xiàn)異常,但是不方便我們遠(yuǎn)程進(jìn)行協(xié)助。您可以按照以下方式提交相關(guān)信息,銘冠網(wǎng)安會根據(jù)您的問題與提供的信息做出相應(yīng)解決方案。病毒問題需要您提交以下信息:1).問題詳情2).火絨中心日志(包括《病毒防御日志》《系統(tǒng)防御日志》《網(wǎng)絡(luò)防御日志》,時(shí)間為30天)。3).報(bào)毒終端日志。4).報(bào)毒終端版本、病毒庫版本。5).需要火絨安全進(jìn)行分析的樣本、隔離區(qū)內(nèi)提取的樣本。
世界上那么多的病毒,反病毒公司為了方便管理,他們會按照病毒的特性,將病毒進(jìn)行分類命名。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣,但大體都是采用一個(gè)統(tǒng)一的命名方法來命名的。
一般格式為:<病毒前綴>.<病毒名>.<病毒后綴>。
病毒前綴是指一個(gè)病毒的種類,他是用來區(qū)別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴Trojan,蠕蟲病毒的前綴是Worm等等還有其他的。
病毒名是指一個(gè)病毒的家族特征,是用來區(qū)別和標(biāo)識病毒家族的,如以前著名的CIH病毒的家族名都是統(tǒng)一的“CIH”,還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是“Sasser”。
病毒后綴是指一個(gè)病毒的變種特征,是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示,如Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種B,因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多(也表明該病毒生命力頑強(qiáng)),可以采用數(shù)字與字母混合表示變種標(biāo)識。
綜上所述,一個(gè)病毒的前綴對我們快速的判斷該病毒屬于哪種類型的病毒是有非常大的幫助的。通過判斷病毒的類型,就可以對這個(gè)病毒有個(gè)大概的評估(當(dāng)然這需要積累一些常見病毒類型的相關(guān)知識,這不在本文討論范圍)。而通過病毒名我們可以利用查找資料等方式進(jìn)一步了解該病毒的詳細(xì)特征。病毒后綴能讓我們知道現(xiàn)在在你機(jī)子里呆著的病毒是哪個(gè)變種。
下面附帶一些常見的病毒前綴的解釋(針對我們用得最多的Windows操作系統(tǒng)):
1、系統(tǒng)病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染W(wǎng)indows操作系統(tǒng)的 *.exe 和 *.dll 文件,并通過這些文件進(jìn)行傳播。如CIH病毒。
2、蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播,很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件,阻塞網(wǎng)絡(luò)的特性。比如沖擊波(阻塞網(wǎng)絡(luò)),小郵差(發(fā)帶毒郵件)等。
3、木馬病毒、黑客病毒其前綴是:Trojan。黑客病毒前綴名一般為Hack.木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏,然后向外界泄露用戶的信息。而黑客病毒則有一個(gè)可視的界面,能對用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對出現(xiàn)的,即木馬病毒負(fù)責(zé)侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進(jìn)行控制。現(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344,還有大家可能遇見比較多的針對網(wǎng)絡(luò)游戲的木馬病毒如Trojan.LMir.PSW.60。這里補(bǔ)充一點(diǎn),病毒名中有PSW或者什么PWD之類的一般都表示這個(gè)病毒有盜取密碼的功能(這些字母一般都為“密碼”的英文“password”的縮寫)一些黑客程序如:網(wǎng)絡(luò)梟雄(Hack.Nether.Client)等。
4、腳本病毒的前綴是:腳本病毒的公有特性是使用腳本語言編寫,通過網(wǎng)頁進(jìn)行的傳播的病毒,如紅色代碼(.Redlof)。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時(shí)光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒是也是腳本病毒的一種,由于它的特殊性,因此在這里單獨(dú)算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴,格式是:Macro.Word97;凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴,格式是:Macro.Excel,依此類推。該類病毒的公有特性是能感染OFFICE系列文檔,然后通過OFFICE通用模板進(jìn)行傳播,如:著名的美麗莎(Macro.Melissa)。
6、后門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播,給系統(tǒng)開后門,給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC后門Backdoor.IRCBot。
7、病毒種植程序病毒的公有特性是運(yùn)行時(shí)會從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下,由釋放出來的新病毒產(chǎn)生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8、破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖標(biāo)來**用戶點(diǎn)擊,當(dāng)用戶點(diǎn)擊這類病毒時(shí),病毒便會直接對用戶計(jì)算機(jī)產(chǎn)生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
9、玩笑病毒的前綴是:Joke.也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標(biāo)來**用戶點(diǎn)擊,當(dāng)用戶點(diǎn)擊這類病毒時(shí),病毒會做出各種破壞操作來嚇唬用戶,其實(shí)病毒并沒有對用戶電腦進(jìn)行任何破壞。如:女鬼(Joke.Girlghost)病毒。
10、捆綁機(jī)病毒的前綴是:Binder.這類病毒的公有特性是病毒作者會使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來,表面上看是一個(gè)正常的文件,當(dāng)用戶運(yùn)行這些捆綁病毒時(shí),會表面上運(yùn)行這些應(yīng)用程序,然后隱藏運(yùn)行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統(tǒng)殺手(Binder.killsys)等。以上為比較常見的病毒前綴,有時(shí)候我們還會看到一些其他的,但比較少見,這里簡單提一下:
11、DoS:會針對某臺主機(jī)或者服務(wù)器進(jìn)行DoS攻擊;
12、Exploit:會自動(dòng)通過溢出對方或者自己的系統(tǒng)漏洞來傳播自身,或者他本身就是一個(gè)用于Hacking的溢出工具;
13、HackTool:黑客工具,也許本身并不破壞你的機(jī)子,但是會被別人加以利用來用你做替身去破壞別人。