安全软件的报毒想必大家都见过,点击清除病毒后,也会有点担心和疑问:我中了什么毒,这毒有啥危害?想看一眼报毒界面吧,又是一脸茫然。今天,带工程狮于老师就领大家认识一下火绒的报毒规则,增加一些实(shen)用(qi)的知识。
看懂火绒的报毒名,其实很简单的,无非就是知道两点:“这毒叫啥——病毒家族名”;“这毒做什么的——病毒类型”。
病毒类型很好懂,类似于病毒“干活“的工种,表示不同类型危害,像勒索病毒敲诈赎金、蠕虫病毒无限复制搞破坏、流氓程序做捆绑推广的勾当等等。文章后面会附上目前常见的病毒类型和简单说明,大家课后可以眼熟一下。
那么问题来了,单一的病毒类型,比如勒索病毒只管加密勒索,如何传播出去呢?后门病毒在用户电脑上开了后门后,谁来走这个后门干坏事呢?
病毒们也不傻:单干吃力不讨好,那就狼狈为奸呀。
为了达成不法目的,一个病毒通常由多个类型的病毒模块构成,传播的传播,盗号的盗号,勒索的勒索等等,可谓分工明确干活不累。
这么多病毒模块组成一大家子即一个病毒家族。安全厂商发现一个病毒家族后,会根据病毒作者留下的签名、或者病毒的一些明显特征,为它取一个名字,这就是病毒家族名。比如WannaCry家族,就是根据作者留下的信息取的。
由于安全厂商不同,所以会出现一个病毒家族有不同家族名的现象。当某个家族名传播较为广泛的时候,大家便会约定俗成统一叫法,这也是有利于辨认的。
搞懂病毒类型和病毒家族名后,再来看火绒的报毒方式就很简单了。
我们报毒的主要展示信息就是“病毒类型/病毒家族名”。比如:Backdoor/FakeExtent。Backdoor是病毒类型(后门病毒),FakeExtent是病毒家族名。
要注意的是,火绒会对整个家族中的病毒模块单独报毒,绝不会错过或者含糊其辞。然后,会将危害最严重的病毒类型作为整个病毒家族的类型。比如下图火绒对FakeExtent病毒家族的不同模块的报毒是不一样的,但最终会将该家族定性为后门病毒。
于老师:我再举个栗子!
比如有一家做坏事的三兄弟,大哥负责开锁撬门,二哥在一旁望风,老幺则入室盗窃。警察叔叔抓获后会分别将三人单独记录在案(单独对病毒模块报毒),发现这个犯罪家族有烫头的爱好,就取名为“烫头大盗”(家族名),最后,再根据情节最严重的老幺的行为,将整个犯罪行为定性为入室盗窃(病毒类型)。
这下总明白了吧。了解病毒家族名,我们就能拎清火绒报毒的类型;知道病毒类型,我们就知道了病毒的危害;晓得了病毒危害,也就自然找得到预防方式了。
比如在发现蠕虫这类传播性强的病毒时,除了全盘查杀外,也要检查一下是否存在文件共享,是否有被感染的U盘;或者在家庭、企业有多台机器情况下,一台发现该病毒时,也要扫描一下其他电脑,防止被家族其它病毒模块横向感染……甚至还可以在向我们反馈问题或求助时,能够准确描述病毒情况,帮助工程师快速了解详情。
“当然了,让报毒这件事变得这么清晰、明确,得益于火绒的反病毒引擎,让我们不会以‘恶意威胁’等含糊的名词来描述,做到报毒有依。而这,也恰是所有反病毒引擎该具备的基本工作原则。“于老师表示。
“具体的病毒类型和描述我们的报毒界面就有介绍。附录中我列举一些大家常遇见的病毒类型和简单的描述,大家做好笔记,下次再遇到火绒报毒窗口就不会摸不着头脑了,大家放心大胆的该处理处理,有不懂的随时找我提问。”
附录一:用户常见病毒类型
1、蠕虫病毒:Worm
能无限复制自身,就像小强一样。当发现一个蠕虫病毒的时候,可能就会藏了一窝蠕虫了。这时候就要全盘扫描查杀一下了。
2、感染型病毒:Virus
中了感染型病毒后,会有很多看似“正常”的软件被频繁报毒,包括浏览器、播放器、Office文件等等,不知道的还以为是误报呢。遇到后赶紧全盘查杀了。
3、勒索病毒:Ransom
大家比较熟悉了,做加密文件索要赎金的“敲竹杠”买卖。看到火绒报毒后,说明加密行为被阻止了。如果不幸被加密,也可以联系我们工程师看下是否可以解密,千万不要轻信网上解密方法,以免造成二次损失。
4、流氓程序:Rogue
一些软件程序为了获取流量,进行静默安装、捆绑推广等恶意行为,会被火绒拦截报毒。可以了解一下火绒防流氓的“软件安装拦截”和“下载站下载器”拦截功能,专治流氓!
5、广告程序:Adware
看见这个报毒,说明某个程序有大量的弹窗推广行为,火绒直接当成病毒查杀了。所以,如果大家发现有程序乱弹广告,可以反馈给我们。
附录二:火绒完整报毒名顺序介绍。
火绒的报毒和国外厂商的原则相似,遵循“CARO“原则,包含“前缀:主类型/平台类型.病毒家族名称.变种号!后缀”。如:HEUR:TrojanDownloader/JS.Nemucod.a。通常为方便辨认,在报毒界面只显示“病毒类型/病毒家族名.变种”。