安全資訊

病毒問(wèn)題

使用火絨進(jìn)行查殺后，可能會(huì )發(fā)現以下企業(yè)內常見(jiàn)病毒，此節內容主要介紹此類(lèi)常見(jiàn)病毒的傳播、危害、識別方式。

1.勒索病毒：
勒索病毒主要通過(guò)RDP、釣魚(yú)郵件、漏洞攻擊等方式進(jìn)行傳播。勒索病毒成功運行后，會(huì )根據病毒內的規則，加密所有符合條件的文件。因勒索病毒多使用非對稱(chēng)加密算法，在沒(méi)有獲取到密鑰的情況下無(wú)法解密，中毒后損失較大。
此類(lèi)病毒被火絨查殺時(shí)，報毒名稱(chēng)為Ransom/病毒名。
需要注意的是以RDP弱口令為主要傳播方式的勒索病毒，黑客在獲取到Windows賬戶(hù)的密碼后，通過(guò)”遠程桌面”登錄到企業(yè)內，在成功登陸后，會(huì )尋找高價(jià)值服務(wù)器(文件服務(wù)器、OA、業(yè)務(wù)服務(wù)器、數據庫)，加密其中文件進(jìn)行勒索。
火絨企業(yè)版對該傳播方式有額外的防護措施，但除了部署安全軟件，您也可以按照我們提供的《部署火絨后的安全加固建議》文檔，對火絨和Windows進(jìn)行有針對性的配置，以提高安全性。

2.感染型病毒：
感染型病毒是企業(yè)內常見(jiàn)病毒，此類(lèi)病毒多會(huì )感染可執行文件，導致在用戶(hù)在使用被感染的軟件時(shí)，病毒會(huì )先運行，以達到在系統內常駐的目的，并會(huì )通過(guò)可移動(dòng)設備，文件共享等渠道傳播。
此類(lèi)病毒被火絨查殺時(shí)，報毒名稱(chēng)為”Virus/病毒名”，例如”Virus/Ramnit”、”Virus/Sality”等。
發(fā)現此類(lèi)病毒后，需要進(jìn)行全盤(pán)查殺，查殺前修改火絨掃描時(shí)機(監控級別)，全盤(pán)掃描時(shí)盡量不要運行其他程序。

在處理病毒時(shí)，如該文件為被感染程序，火絨會(huì )清除文件內的病毒代碼，修復該文件，如文件是病毒本體、被感染導致文件損壞、無(wú)法寫(xiě)入等情況，火絨會(huì )刪除該文件(文件在C:\windows目錄下，如文件無(wú)法清除需要刪除，為了保持系統穩定，火絨不會(huì )主動(dòng)刪除文件該文件，日志內會(huì )顯示處理失敗)，如不確認是否可以清除，可與我們取得聯(lián)系幫您進(jìn)行判定。

3.挖礦病毒：
挖礦病毒已經(jīng)是企業(yè)內最常見(jiàn)的病毒之一，此類(lèi)病毒運行時(shí)會(huì )大量占用系統資源，影響企業(yè)內的業(yè)務(wù)，妨礙員工辦公。挖礦病毒的傳播方式較多，企業(yè)內常見(jiàn)的傳播方式有內網(wǎng)橫向傳播、軟件安裝包攜帶、黑客入侵投放等。
火絨查殺到此類(lèi)病毒時(shí)，報毒名稱(chēng)多為”Trojan/挖礦程序名”，例如”Trojan/CoinMiner”、”Trojan/JS.CoinMiner”。正常情況下，電腦內發(fā)現此類(lèi)病毒只需要用火絨終端掃描查殺即可，在查殺結束后需要重啟。
因挖礦病毒多會(huì )攜帶其他模塊，例如利用永恒之藍進(jìn)行傳播的模塊等，所以在查殺挖礦病毒時(shí)，除了挖礦組件外，還可能會(huì )查殺到報毒名為”Exploit/EquationDrug”或”HackTool/EquationDrug”的其他功能模塊。

4.黑客工具：
火絨對黑客工具的定義為”可以被黑客利用，用來(lái)控制用戶(hù)計算機或發(fā)起網(wǎng)絡(luò )攻擊的工具程序”，包括挖礦工具、端口掃描工具、ARK工具、遠程控制工具等。
在查殺到此類(lèi)程序時(shí)，火絨的報毒名稱(chēng)多為”HackTool/工具名”，例如”HackTool/PowerTool.a”、”HackTool/PortScan.a”等，在企業(yè)環(huán)境內，發(fā)現此類(lèi)工具多是遭受攻擊，黑客試圖使用此類(lèi)工具繼續對內網(wǎng)進(jìn)行滲透時(shí)被火絨攔截。
在企業(yè)內查殺到此類(lèi)工具，如并非為企業(yè)內常用工具或運維人員所用工具，需及時(shí)進(jìn)行排查，對所查殺工具的來(lái)源與作用進(jìn)行確認。也可直接與火絨安全進(jìn)行聯(lián)系，協(xié)助您進(jìn)行排查。

5.廣告程序：
廣告程序會(huì )通過(guò)多種途徑進(jìn)入系統，多為未經(jīng)用戶(hù)允許便進(jìn)行安裝(捆綁安裝攜帶、軟件自身的廣告組件等)。
運行時(shí)多會(huì )通過(guò)彈出式廣告、劫持瀏覽器主頁(yè)、暗刷等方式盈利，對用戶(hù)日常的電腦使用，辦公等造成影響。此類(lèi)程序被火絨查殺時(shí)，報毒名稱(chēng)為”Adware/名稱(chēng)”，例如”Adware/FakeAV.ks”、”Adware/PuddingZip.g”等?；鸾q在查殺此類(lèi)程序時(shí)，只會(huì )處理該程序的廣告模塊，不會(huì )影響該程序的正常使用，但是會(huì )出現該軟件升級時(shí)，將廣告模塊恢復的情況，會(huì )導致火絨對此文件頻繁查殺。出現此類(lèi)情況時(shí)，如該軟件需要繼續使用，建議您將相關(guān)文件添加到白名單，如此程序并非您主動(dòng)安裝(捆綁)，或不需要使用，建議您進(jìn)行卸載。
對于軟件的彈窗廣告，火絨提供了安全工具”彈窗攔截”，可阻止此類(lèi)窗口出現。

非病毒問(wèn)題

1.漏洞掃描：
使用火絨”漏洞修復”功能，掃描并修復Windows漏洞時(shí)，可能因為多種原因導致補丁下載或安裝失敗，該小節內容為常見(jiàn)的”漏洞修復”問(wèn)題與處理辦法。
1、火絨”漏洞修復”掃描出的補丁數量，與”Windows Update”提供的補丁數量不一致
火絨默認不推送部分功能性補丁，例如IE跨版本升級(如IE10升級到IE11)、.Net跨版本升級、語(yǔ)言包等，除減少了功能性補丁外，微軟提供的補丁部分存在包含與替代關(guān)系，火絨會(huì )根據測試后的情況，調整規則庫，在高危漏洞全部安裝的情況下，調整被替代的補丁推送，所以會(huì )比系統推送的補丁數量少。
2、補丁”下載失敗”

此問(wèn)題多為網(wǎng)絡(luò )環(huán)境異常導致，如需要安裝補丁的電腦可以訪(fǎng)問(wèn)網(wǎng)絡(luò )，可以嘗試ping以下地址:
download.windowsupdate.com
download.microsoft.com
如無(wú)法ping通，需要排查網(wǎng)絡(luò )是否存在故障，若網(wǎng)絡(luò )環(huán)境無(wú)異常依舊下載失敗，可聯(lián)系火絨協(xié)助您排查該問(wèn)題。
需要修復漏洞的電腦是內網(wǎng)，無(wú)法于微軟服務(wù)器下載補丁，此時(shí)需要檢查”火絨中心”是否能夠連接戶(hù)聯(lián)網(wǎng)。
在火絨中心可以訪(fǎng)問(wèn)網(wǎng)絡(luò )的情況下，需要修改”火絨中心->漏洞修復”功能設置，勾選從中心下載補丁。

火絨中心也部署在內網(wǎng)的情況下，需要使用”離線(xiàn)升級工具”，相關(guān)使用方法可以查看使用文檔。

3、補丁”安裝失敗”
出現補丁”安裝失敗”的情況，多為系統環(huán)境內，更新相關(guān)環(huán)境、組件、服務(wù)出現異常。
當您出現此類(lèi)問(wèn)題時(shí)，可與我們取得聯(lián)系，幫您找到補丁安裝失敗的原因，并提供解決方案。

2.軟件沖突：
a).透明加密軟件
企業(yè)內在使用透明加密軟件(防泄密程序)時(shí)，常會(huì )遇到宏病毒在掃描時(shí)不報毒，打開(kāi)文件時(shí)火絨提示存在宏病毒。
出現此問(wèn)題的原因為，安裝防泄密軟件后，被保護的文檔內容被加密，只有使用防泄密軟件允許的程序打開(kāi)(Office Word、WPS等)該文件，或事先使用該軟件解密文件內容后，文檔內容才可以被其他軟件正常訪(fǎng)問(wèn)。
當您遇到此類(lèi)問(wèn)題時(shí)，如該防泄密軟件有白名單功能，可先將火絨目錄下的可執行程序添加到白名單(HipsDaemon.exe\HipsMain.exe\HipsTray.exe)后，再次掃描查看問(wèn)題是否解決。
如該防泄密程序沒(méi)有白名單功能，或添加白名單后依舊無(wú)法正常進(jìn)行掃描，可聯(lián)系防泄密程序廠(chǎng)商與火絨安全，共同解決此問(wèn)題。

其他問(wèn)題

1.藍屏：
火絨使用過(guò)程中出現藍屏問(wèn)題時(shí)，需要提取該電腦上的藍屏dump并上傳，我們會(huì )幫您分析藍屏原因
dump文件位置:
%SystemRoot%\Memory.dmp
%SystemRoot%\Minidump*.dmp(根據日期命名)
如此目錄下沒(méi)有發(fā)現相關(guān)文件，可以檢查以下設置。
打開(kāi)運行，輸入”systempropertIEsadvanced”，打開(kāi)”高級系統設置”。

點(diǎn)擊”高級->啟動(dòng)和故障恢復->設置”，按照圖片進(jìn)行設置。如沒(méi)有”自動(dòng)內存轉儲”選項，可根據需求選擇”核心內存轉儲(推薦)”、”最小內存轉儲”、”完全內存轉儲”。

2.惡意網(wǎng)址攔截：
火絨終端部署后，根據局域網(wǎng)內狀況不同，可能會(huì )出現大量”惡意網(wǎng)址攔截日志”，此小節列出企業(yè)內較常見(jiàn)的被攔截網(wǎng)址，并提供解決方案。
出現以上網(wǎng)址的攔截，是因您電腦中安裝了快壓導致，可根據您的需求選擇是否繼續使用或卸載該軟件。
相關(guān)報告:知名壓縮軟件”快壓”傳播病毒和多款流氓軟件 劫持流量
出現以上網(wǎng)址的攔截，是因您電腦中安裝了布丁系軟件導致。
Clover
東方瀏覽器
東方輸入法
東方頭條
萬(wàn)能瀏覽器
萬(wàn)能看圖
萬(wàn)能五筆
智能云五筆輸入法
智能云輸入法
布丁壓縮
布丁桌面
水果輸入法

可根據您的需求選擇是否繼續使用或卸載該軟件，此類(lèi)軟件在卸載后有殘留服務(wù)訪(fǎng)問(wèn)以上網(wǎng)址，重新安裝軟件的行為，如您電腦上未發(fā)現此系列軟件但依舊存在”惡意網(wǎng)址攔截”日志，可聯(lián)系我們幫您進(jìn)行排查。
相關(guān)報告:灰色產(chǎn)業(yè)鏈成病毒傳播最大渠道 流量生意或迎來(lái)最后的瘋狂

出現以上網(wǎng)址的攔截，是因您電腦中存在DTStealer木馬導致，除了攔截網(wǎng)址訪(fǎng)問(wèn)，可能會(huì )同時(shí)出現”隱藏執行PowerShell”等攔截日志，關(guān)于此病毒只需使用火絨全盤(pán)查殺，重啟即可。
相關(guān)報告: “驅動(dòng)人生”利用高危漏洞傳播病毒 12月14日半天感染數萬(wàn)臺電腦

提交問(wèn)題
如果您遇到以下情況:
a).網(wǎng)絡(luò )內發(fā)現可疑文件，想要提供給火絨安全進(jìn)行分析。
b).系統出現異常，但是不方便我們遠程進(jìn)行協(xié)助。
您可以按照以下方式提交相關(guān)信息，銘冠網(wǎng)安會(huì )根據您的問(wèn)題與提供的信息做出相應解決方案。
病毒問(wèn)題
需要您提交以下信息:
1).問(wèn)題詳情
2).火絨中心日志(包括《病毒防御日志》《系統防御日志》《網(wǎng)絡(luò )防御日志》，時(shí)間為30天)。
3).報毒終端日志。
4).報毒終端版本、病毒庫版本。
5).需要火絨安全進(jìn)行分析的樣本、隔離區內提取的樣本。