400电话
在线咨询
微信咨询
咨询时间: 9:30-18:30
400-998-3555

百万级感染量 感染型病毒猖狂在哪里?附火绒有效查杀方式

  • 作者:火绒安全

  • 发布时间:2021-06-01

  • 阅读量:6177

 

感染型病毒是用户特别是企业用户最常遇到的病毒种类之一,此类病毒凭借隐蔽的传播特性,可长期感染、盘踞在用户的关键运行程序、重要文件上,造成即使发现病毒也“不敢杀、不会杀、不想杀”的局面,最终任由病毒四处扩散,威胁终端安全。

 

为此,火绒根据多年累积的处理、解决感染型病毒的实际案例,以及专业的终端安全防范知识,专门总结了感染型病毒的特点、危害,以及使用火绒的有效、彻底查杀办法,包括如何防止重复感染、不损坏文档程序等关键问题,以此帮助广大用户避免因该病毒带来的风险和损失。

 

一、百万级感染量 

目前,感染型病毒特别是老旧的家族,在全网的感染量依旧很大。根据“火绒威胁情报系统”监测和评估,2021年上半年感染型病毒活跃度依旧高涨,其中, SynaresRamnit两大家族感染终端数量均超过百万。排名前十的感染型病毒家族如下图:

 

 

 

 

此外,根据“火绒任务处理平台”相关信息反馈,火绒每个月都会收到来自个人和企业用户,关于处理感染型病毒的咨询或求助。

 

二、感染型病毒的特点

1)附着“宿主”

 

感染型病毒入侵终端后,会“寄居”在可执行程序上,包括各类软件、办公文档等,导致用户在查杀的时候投鼠忌器,怕损坏正常程序、文档,因而任由病毒存在。

 

 

2)感染性强 

感染型病毒会迅速感染终端上所有可执行文件,导致安全软件频繁报毒,容易让用户以为是误报而选择信任。此外,感染型病毒还会通过邮件、共享文件夹、U盘等各类方式对外传播。因此,如果终端内病毒没有清理干净,就很容易造成其卷土重来的局面。

 

 

三、如何辨认感染型病毒

感染型病毒因为具备隐蔽性、潜伏性,可触发性等等各种特征,所以用户往往不能及时分辨出来。这里,火绒就为各位总结了如何判断中招感染型病毒的办法。判断是否中了感染型病毒,可以通过两个方式:

 

 

一是看报毒名,火绒的报毒名以“Virus”开头,遇到后直接查杀即可。(以火绒用户为例)

  

 

 

 

二是对于大众用户来说,如果很多看似正常的软件都被报毒了,就要留心注意了,这个时候设备内是不是存在了感染型病毒。

 

此外,值得注意的是,火绒用户可以在火绒信任区查看一下被“信任”过的文件,从而自查是否有感染型病毒混在其中。

 

四、感染型病毒的危害

一般来说,感染型病毒往往具备以下几个危害特征:

 

1)携带恶意代码 

可能携带后门、窃取信息、点击器、下载器等相关恶意代码。2019年,火绒发现感染型病毒Ramnit通过淘宝游戏店铺传播,同时能够感染电脑中所有可执行文件和HTML文件,窃取用户上网信息(譬如浏览器cookies等),并且通过这些被感染文件进行重复传播。

 

 

 

 

2)恶意损害文件

会导致被感染文件或者程序无法打开,出现“卡死”状态。20206月,火绒发现名为“普天同庆”的感染型病毒,可感染知名三维建模和动画软件玛雅的脚本文件,导致制作的场景源文件携带该病毒,用户打开玛雅源文件时陷入“卡死”状态。

 

 

 

 

此外,火绒安全团队在处理企业问题的时候,更多的是遇到老旧感染型病毒,在企业内网泛滥清除不干净的情况。这些老旧的感染型病毒虽然不再做技术更新,但却因长期存在,也会潜移默化带来恶劣影响:

 

1)老旧感染型病毒会影响系统和系统上软件的稳定性,如用户在运行其它的程序,或更新程序后,与病毒产生冲突,从而损坏或无法打开程序,影响工作、业务展开。

 

 

火绒接到过某企业用户查杀病毒的求助。经分析发现,为感染型病毒“Spreadoc”,而该病毒早于2013年就出现,并在该企业内长期潜伏数年,最终因为办公文档升级与病毒产生冲突导致打不开,才寻求帮助。

 

2)用户特别是企业用户对外发送邮件时携带感染型病毒后,会导致邮件服务商或合作方的安全软件直接拦截查杀,影响业务进程,造成误会。

 

3)随着公司规模扩大,病毒感染量也在扩散,导致大量的系统存储空间被病毒占据,且清除病毒的成本也会大大增加。

 

五、防御办法

1、感染前

无论是个人还是企业,都需要具备安全意识。在日常的工作和生活中,也要做到不要接收来历不明的文件,不要打开可疑的链接,不要暴露真实的身份信息,不要访问提示“危险”的网站。

 

 

此外,要认识到感染型病毒带来的长期危害,及时部署安全软件,定期进行查杀;也要相信安全软件发出的警示信息,及时查杀病毒。同时,也要定期更新系统和为主机打补丁,修复相应的高危漏洞,让网络病毒无可趁之机。

  

 

2、感染后

不在终端上使用U盘等外设,不发送邮件、通过通讯工具传递文档,以免感染其它终端。

 

六、火绒的有效查杀策略

部署安全软件进行全网查杀。火绒对于感染型病毒能够安全、有效的查杀,得益于火绒强大的查杀策略与机制:

 

1、全网部署深度清除,避免重复发作

 

1)发现感染型病毒后,可将火绒的【文件实时监控——扫描时机】功能调整为为中、高模式。

  

 

2)进行全盘扫描查杀。

3)重启后再次全盘扫描一次,避免遗漏。

4企业用户注意:需全网部署火绒,避免未安装火绒的终端残存病毒,通过共享网络再次感染全网。

 

2、火绒只清除病毒,不损坏程序、文档

由于感染型病毒会隐藏在可执行文件、程序中,暴力的删除整个受感染文档文件并不可取,火绒用户请放心查杀,火绒对于此类病毒都会只清除,不损坏文件。实际上,一直以来,火绒都在坚持灵活准确使用删除与清除这两种杀毒方式,可以做到正确识别,正确查杀。

  

 

 

 清除和删除的区别

 

删除病毒,部分病毒能独立传播,因此识别后直接查杀即可;清除病毒,只将附着在正常文件上的病毒去除,不破坏文件。

 

3、使用火绒全盘查杀病毒的过程中,依旧可运行程序、文档

 

将火绒的【文件实时监控——扫描时机】功能调至中、高模式后,就可以对运行中的程序、文档进行查杀扫描,并阻止程序、文档中的病毒继续向外感染其它目标,帮助用户在不中断业务、工作的情况下完成全盘扫描。

 

 

如果您的终端遭遇该类病毒,也可以通过以下方式与火绒联系获得专业及时的帮助。

1、拨打电话400-998-3555

2、通过火绒官方论坛反馈

3、邮箱:seclab@huorong.cn

4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。

 

补充阅读:

1火绒小课堂:“正常文件”被频繁报毒?当心是感染型病毒在作祟

2“普天同庆”病毒可影响macOS版本玛雅软件 火绒特别推出专杀工具

3老病毒借助文档传播活跃七年 目前仅火绒可彻底清除

 

4白担心了 原来火绒这样清除病毒并不会删除文件

5火绒安全警报:感染型病毒通过淘宝店传播 窃取用户上网信息

 

 

 

安全无忧,一键开启

全面提升您的系统防护