我们都在那里 - 您从病毒扫描程序警告警告特定文件被感染。 有时甚至在您告知防病毒扫描程序删除感染之后,警报仍会再次出现。 或者,您可能有理由相信病毒警报可能是误报 。 在确定如何处理可疑或有问题的病毒警报时,您需要考虑以下六点。
01之06
位置,位置,位置
与房地产一样,被检测到的地点可能具有重要意义。 如果您收到相同感染的重复警报,则可能是由于系统还原文件夹中存在非活动恶意软件或其他某个触发警报的位置中的剩余垃圾。
02 06
起源:从哪里来
就像位置一样,文件的来源可能意味着一切。 高风险的来源包括电子邮件中的附件,从BitTorrent或其他文件共享网络下载的文件,以及由电子邮件或即时消息中的链接导致的意外下载。 例外情况将是通过下面描述的目的测试的文件。
03年06月
目的:你想要它,需要它,期待它?
目的测试归结为一个意图问题。 这是你期望和需要的文件吗? 任何意外下载的文件都应该被认为是高风险的,可能是恶意的。 如果没有意外下载,但您不需要该文件,则可以通过简单地删除它来减轻风险。 对您允许在系统上运行的内容进行选择是减少病毒感染风险的简单方法(并避免不必要的应用程序使系统性能下降)。 但是,如果该文件是故意下载的,并且您确实需要它,但它仍然被您的防病毒软件标记,然后它通过了目的测试,现在是时候征求第二个意见。
04年6月
SOS:第二次意见扫描
如果文件通过了位置,起始和用途步骤,但防病毒扫描程序仍然表示它已被感染,则需要将其上传到在线扫描仪以获得第二种意见。 您可以将文件提交给Virustotal,让它扫描超过30种不同的恶意软件扫描程序。 如果报告显示其中有几个扫描仪认为该文件已被感染,请听取他们的意见。 如果只有一个或很少的扫描仪在文件中报告了感染,那么有两件事是可能的:它确实是误报,或者它是如此新的恶意软件,但大多数防病毒扫描程序尚未找到它。
05年06月
按MD5搜索
一个文件可以任意命名,但MD5校验和很少存在。 MD5是一种为文件生成大概唯一的加密哈希的算法。 如果您使用Virustotal进行第二次意见扫描,那么在该报告的底部,您会看到一个标题为“其他信息”的部分。 就在此之下是提交的文件的MD5。 您还可以使用实用工具(如Elgorithms中的免费Chaos MD5)获取任何文件的MD5。 无论您选择何种方式获取MD5,请将文件的MD5复制并粘贴到您最喜爱的搜索引擎中,并查看显示的结果。
06年06月
获取专家分析
如果您已经执行了上述所有步骤,但仍然没有足够的信息来帮助您确定病毒警报是真实还是误报,您可以将文件(取决于文件大小)提交给在线行为分析器。 请注意,这些行为分析器提供的结果可能需要更高水平的专业知识来解释。 但是如果你在这些步骤中已经掌握了这一点,那么你很可能无法破译结果!
- PC工具ThreatExpert
- Sunbelt软件CWSandbox