我們都在那裡 - 您從病毒掃描程序警告警告特定文件被感染。 有時甚至在您告知防病毒掃描程序刪除感染之後,警報仍會再次出現。 或者,您可能有理由相信病毒警報可能是誤報 。 在確定如何處理可疑或有問題的病毒警報時,您需要考慮以下六點。
01之06
位置,位置,位置
與房地產一樣,被檢測到的地點可能具有重要意義。 如果您收到相同感染的重複警報,則可能是由於系統還原文件夾中存在非活動惡意軟件或其他某個觸發警報的位置中的剩餘垃圾。
02 06
起源:從哪裡來
就像位置一樣,文件的來源可能意味著一切。 高風險的來源包括電子郵件中的附件,從BitTorrent或其他文件共享網絡下載的文件,以及由電子郵件或即時消息中的鏈接導致的意外下載。 例外情況將是通過下面描述的目的測試的文件。
03年06月
目的:你想要它,需要它,期待它?
目的測試歸結為一個意圖問題。 這是你期望和需要的文件嗎? 任何意外下載的文件都應該被認為是高風險的,可能是惡意的。 如果沒有意外下載,但您不需要該文件,則可以通過簡單地刪除它來減輕風險。 對您允許在系統上運行的內容進行選擇是減少病毒感染風險的簡單方法(並避免不必要的應用程序使系統性能下降)。 但是,如果該文件是故意下載的,並且您確實需要它,但它仍然被您的防病毒軟件標記,然後它通過了目的測試,現在是時候徵求第二個意見。
04年6月
SOS:第二次意見掃描
如果文件通過了位置,起始和用途步驟,但防病毒掃描程序仍然表示它已被感染,則需要將其上傳到在線掃描儀以獲得第二種意見。 您可以將文件提交給Virustotal,讓它掃描超過30種不同的惡意軟件掃描程序。 如果報告顯示其中有幾個掃描儀認為該文件已被感染,請聽取他們的意見。 如果只有一個或很少的掃描儀在文件中報告了感染,那麼有兩件事是可能的:它確實是誤報,或者它是如此新的惡意軟件,但大多數防病毒掃描程序尚未找到它。
05年06月
按MD5搜索
一個文件可以任意命名,但MD5校驗和很少存在。 MD5是一種為文件生成大概唯一的加密哈希的算法。 如果您使用Virustotal進行第二次意見掃描,那麼在該報告的底部,您會看到一個標題為“其他信息”的部分。 就在此之下是提交的文件的MD5。 您還可以使用實用工具(如Elgorithms中的免費Chaos MD5)獲取任何文件的MD5。 無論您選擇何種方式獲取MD5,請將文件的MD5複製並粘貼到您最喜愛的搜索引擎中,並查看顯示的結果。
06年06月
獲取專家分析
如果您已經執行了上述所有步驟,但仍然沒有足夠的信息來幫助您確定病毒警報是真實還是誤報,您可以將文件(取決於文件大小)提交給在線行為分析器。 請注意,這些行為分析器提供的結果可能需要更高水平的專業知識來解釋。 但是如果你在這些步驟中已經掌握了這一點,那麼你很可能無法破譯結果!
- PC工具ThreatExpert
- Sunbelt軟件CWSandbox