病毒問題

使用火絨進(jìn)行查殺后，可能會(huì)發(fā)現(xiàn)以下企業(yè)內(nèi)常見病毒，此節(jié)內(nèi)容主要介紹此類常見病毒的傳播、危害、識(shí)別方式。

1.勒索病毒：
勒索病毒主要通過RDP、釣魚郵件、漏洞攻擊等方式進(jìn)行傳播。勒索病毒成功運(yùn)行后，會(huì)根據(jù)病毒內(nèi)的規(guī)則，加密所有符合條件的文件。因勒索病毒多使用非對(duì)稱加密算法，在沒有獲取到密鑰的情況下無法解密，中毒后損失較大。
此類病毒被火絨查殺時(shí)，報(bào)毒名稱為Ransom/病毒名。
需要注意的是以RDP弱口令為主要傳播方式的勒索病毒，黑客在獲取到Windows賬戶的密碼后，通過”遠(yuǎn)程桌面”登錄到企業(yè)內(nèi)，在成功登陸后，會(huì)尋找高價(jià)值服務(wù)器(文件服務(wù)器、OA、業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫)，加密其中文件進(jìn)行勒索。
火絨企業(yè)版對(duì)該傳播方式有額外的防護(hù)措施，但除了部署安全軟件，您也可以按照我們提供的《部署火絨后的安全加固建議》文檔，對(duì)火絨和Windows進(jìn)行有針對(duì)性的配置，以提高安全性。

2.感染型病毒：
感染型病毒是企業(yè)內(nèi)常見病毒，此類病毒多會(huì)感染可執(zhí)行文件，導(dǎo)致在用戶在使用被感染的軟件時(shí)，病毒會(huì)先運(yùn)行，以達(dá)到在系統(tǒng)內(nèi)常駐的目的，并會(huì)通過可移動(dòng)設(shè)備，文件共享等渠道傳播。
此類病毒被火絨查殺時(shí)，報(bào)毒名稱為”Virus/病毒名”，例如”Virus/Ramnit”、”Virus/Sality”等。
發(fā)現(xiàn)此類病毒后，需要進(jìn)行全盤查殺，查殺前修改火絨掃描時(shí)機(jī)(監(jiān)控級(jí)別)，全盤掃描時(shí)盡量不要運(yùn)行其他程序。

在處理病毒時(shí)，如該文件為被感染程序，火絨會(huì)清除文件內(nèi)的病毒代碼，修復(fù)該文件，如文件是病毒本體、被感染導(dǎo)致文件損壞、無法寫入等情況，火絨會(huì)刪除該文件(文件在C:\windows目錄下，如文件無法清除需要?jiǎng)h除，為了保持系統(tǒng)穩(wěn)定，火絨不會(huì)主動(dòng)刪除文件該文件，日志內(nèi)會(huì)顯示處理失敗)，如不確認(rèn)是否可以清除，可與我們?nèi)〉寐?lián)系幫您進(jìn)行判定。

3.挖礦病毒：
挖礦病毒已經(jīng)是企業(yè)內(nèi)最常見的病毒之一，此類病毒運(yùn)行時(shí)會(huì)大量占用系統(tǒng)資源，影響企業(yè)內(nèi)的業(yè)務(wù)，妨礙員工辦公。挖礦病毒的傳播方式較多，企業(yè)內(nèi)常見的傳播方式有內(nèi)網(wǎng)橫向傳播、軟件安裝包攜帶、黑客入侵投放等。
火絨查殺到此類病毒時(shí)，報(bào)毒名稱多為”Trojan/挖礦程序名”，例如”Trojan/CoinMiner”、”Trojan/JS.CoinMiner”。正常情況下，電腦內(nèi)發(fā)現(xiàn)此類病毒只需要用火絨終端掃描查殺即可，在查殺結(jié)束后需要重啟。
因挖礦病毒多會(huì)攜帶其他模塊，例如利用永恒之藍(lán)進(jìn)行傳播的模塊等，所以在查殺挖礦病毒時(shí)，除了挖礦組件外，還可能會(huì)查殺到報(bào)毒名為”Exploit/EquationDrug”或”HackTool/EquationDrug”的其他功能模塊。

4.黑客工具：
火絨對(duì)黑客工具的定義為”可以被黑客利用，用來控制用戶計(jì)算機(jī)或發(fā)起網(wǎng)絡(luò)攻擊的工具程序”，包括挖礦工具、端口掃描工具、ARK工具、遠(yuǎn)程控制工具等。
在查殺到此類程序時(shí)，火絨的報(bào)毒名稱多為”HackTool/工具名”，例如”HackTool/PowerTool.a”、”HackTool/PortScan.a”等，在企業(yè)環(huán)境內(nèi)，發(fā)現(xiàn)此類工具多是遭受攻擊，黑客試圖使用此類工具繼續(xù)對(duì)內(nèi)網(wǎng)進(jìn)行滲透時(shí)被火絨攔截。
在企業(yè)內(nèi)查殺到此類工具，如并非為企業(yè)內(nèi)常用工具或運(yùn)維人員所用工具，需及時(shí)進(jìn)行排查，對(duì)所查殺工具的來源與作用進(jìn)行確認(rèn)。也可直接與火絨安全進(jìn)行聯(lián)系，協(xié)助您進(jìn)行排查。

5.廣告程序：
廣告程序會(huì)通過多種途徑進(jìn)入系統(tǒng)，多為未經(jīng)用戶允許便進(jìn)行安裝(捆綁安裝攜帶、軟件自身的廣告組件等)。
運(yùn)行時(shí)多會(huì)通過彈出式廣告、劫持瀏覽器主頁、暗刷等方式盈利，對(duì)用戶日常的電腦使用，辦公等造成影響。此類程序被火絨查殺時(shí)，報(bào)毒名稱為”Adware/名稱”，例如”Adware/FakeAV.ks”、”Adware/PuddingZip.g”等。火絨在查殺此類程序時(shí)，只會(huì)處理該程序的廣告模塊，不會(huì)影響該程序的正常使用，但是會(huì)出現(xiàn)該軟件升級(jí)時(shí)，將廣告模塊恢復(fù)的情況，會(huì)導(dǎo)致火絨對(duì)此文件頻繁查殺。出現(xiàn)此類情況時(shí)，如該軟件需要繼續(xù)使用，建議您將相關(guān)文件添加到白名單，如此程序并非您主動(dòng)安裝(捆綁)，或不需要使用，建議您進(jìn)行卸載。
對(duì)于軟件的彈窗廣告，火絨提供了安全工具”彈窗攔截”，可阻止此類窗口出現(xiàn)。

非病毒問題

1.漏洞掃描：
使用火絨”漏洞修復(fù)”功能，掃描并修復(fù)Windows漏洞時(shí)，可能因?yàn)槎喾N原因?qū)е卵a(bǔ)丁下載或安裝失敗，該小節(jié)內(nèi)容為常見的”漏洞修復(fù)”問題與處理辦法。
1、火絨”漏洞修復(fù)”掃描出的補(bǔ)丁數(shù)量，與”Windows Update”提供的補(bǔ)丁數(shù)量不一致
火絨默認(rèn)不推送部分功能性補(bǔ)丁，例如IE跨版本升級(jí)(如IE10升級(jí)到IE11)、.Net跨版本升級(jí)、語言包等，除減少了功能性補(bǔ)丁外，微軟提供的補(bǔ)丁部分存在包含與替代關(guān)系，火絨會(huì)根據(jù)測試后的情況，調(diào)整規(guī)則庫，在高危漏洞全部安裝的情況下，調(diào)整被替代的補(bǔ)丁推送，所以會(huì)比系統(tǒng)推送的補(bǔ)丁數(shù)量少。
2、補(bǔ)丁”下載失敗”

此問題多為網(wǎng)絡(luò)環(huán)境異常導(dǎo)致，如需要安裝補(bǔ)丁的電腦可以訪問網(wǎng)絡(luò)，可以嘗試ping以下地址:
download.windowsupdate.com
download.microsoft.com
如無法ping通，需要排查網(wǎng)絡(luò)是否存在故障，若網(wǎng)絡(luò)環(huán)境無異常依舊下載失敗，可聯(lián)系火絨協(xié)助您排查該問題。
需要修復(fù)漏洞的電腦是內(nèi)網(wǎng)，無法于微軟服務(wù)器下載補(bǔ)丁，此時(shí)需要檢查”火絨中心”是否能夠連接戶聯(lián)網(wǎng)。
在火絨中心可以訪問網(wǎng)絡(luò)的情況下，需要修改”火絨中心->漏洞修復(fù)”功能設(shè)置，勾選從中心下載補(bǔ)丁。

火絨中心也部署在內(nèi)網(wǎng)的情況下，需要使用”離線升級(jí)工具”，相關(guān)使用方法可以查看使用文檔。

3、補(bǔ)丁”安裝失敗”
出現(xiàn)補(bǔ)丁”安裝失敗”的情況，多為系統(tǒng)環(huán)境內(nèi)，更新相關(guān)環(huán)境、組件、服務(wù)出現(xiàn)異常。
當(dāng)您出現(xiàn)此類問題時(shí)，可與我們?nèi)〉寐?lián)系，幫您找到補(bǔ)丁安裝失敗的原因，并提供解決方案。

2.軟件沖突：
a).透明加密軟件
企業(yè)內(nèi)在使用透明加密軟件(防泄密程序)時(shí)，常會(huì)遇到宏病毒在掃描時(shí)不報(bào)毒，打開文件時(shí)火絨提示存在宏病毒。
出現(xiàn)此問題的原因?yàn)?，安裝防泄密軟件后，被保護(hù)的文檔內(nèi)容被加密，只有使用防泄密軟件允許的程序打開(Office Word、WPS等)該文件，或事先使用該軟件解密文件內(nèi)容后，文檔內(nèi)容才可以被其他軟件正常訪問。
當(dāng)您遇到此類問題時(shí)，如該防泄密軟件有白名單功能，可先將火絨目錄下的可執(zhí)行程序添加到白名單(HipsDaemon.exe\HipsMain.exe\HipsTray.exe)后，再次掃描查看問題是否解決。
如該防泄密程序沒有白名單功能，或添加白名單后依舊無法正常進(jìn)行掃描，可聯(lián)系防泄密程序廠商與火絨安全，共同解決此問題。

其他問題

1.藍(lán)屏：
火絨使用過程中出現(xiàn)藍(lán)屏問題時(shí)，需要提取該電腦上的藍(lán)屏dump并上傳，我們會(huì)幫您分析藍(lán)屏原因
dump文件位置:
%SystemRoot%\Memory.dmp
%SystemRoot%\Minidump*.dmp(根據(jù)日期命名)
如此目錄下沒有發(fā)現(xiàn)相關(guān)文件，可以檢查以下設(shè)置。
打開運(yùn)行，輸入”systempropertIEsadvanced”，打開”高級(jí)系統(tǒng)設(shè)置”。

點(diǎn)擊”高級(jí)->啟動(dòng)和故障恢復(fù)->設(shè)置”，按照?qǐng)D片進(jìn)行設(shè)置。如沒有”自動(dòng)內(nèi)存轉(zhuǎn)儲(chǔ)”選項(xiàng)，可根據(jù)需求選擇”核心內(nèi)存轉(zhuǎn)儲(chǔ)(推薦)”、”最小內(nèi)存轉(zhuǎn)儲(chǔ)”、”完全內(nèi)存轉(zhuǎn)儲(chǔ)”。

2.惡意網(wǎng)址攔截：
火絨終端部署后，根據(jù)局域網(wǎng)內(nèi)狀況不同，可能會(huì)出現(xiàn)大量”惡意網(wǎng)址攔截日志”，此小節(jié)列出企業(yè)內(nèi)較常見的被攔截網(wǎng)址，并提供解決方案。
出現(xiàn)以上網(wǎng)址的攔截，是因您電腦中安裝了快壓導(dǎo)致，可根據(jù)您的需求選擇是否繼續(xù)使用或卸載該軟件。
相關(guān)報(bào)告:知名壓縮軟件”快壓”傳播病毒和多款流氓軟件 劫持流量
出現(xiàn)以上網(wǎng)址的攔截，是因您電腦中安裝了布丁系軟件導(dǎo)致。
Clover
東方瀏覽器
東方輸入法
東方頭條
萬能瀏覽器
萬能看圖
萬能五筆
智能云五筆輸入法
智能云輸入法
布丁壓縮
布丁桌面
水果輸入法

可根據(jù)您的需求選擇是否繼續(xù)使用或卸載該軟件，此類軟件在卸載后有殘留服務(wù)訪問以上網(wǎng)址，重新安裝軟件的行為，如您電腦上未發(fā)現(xiàn)此系列軟件但依舊存在”惡意網(wǎng)址攔截”日志，可聯(lián)系我們幫您進(jìn)行排查。
相關(guān)報(bào)告:灰色產(chǎn)業(yè)鏈成病毒傳播最大渠道 流量生意或迎來最后的瘋狂

出現(xiàn)以上網(wǎng)址的攔截，是因您電腦中存在DTStealer木馬導(dǎo)致，除了攔截網(wǎng)址訪問，可能會(huì)同時(shí)出現(xiàn)”隱藏執(zhí)行PowerShell”等攔截日志，關(guān)于此病毒只需使用火絨全盤查殺，重啟即可。
相關(guān)報(bào)告: “驅(qū)動(dòng)人生”利用高危漏洞傳播病毒 12月14日半天感染數(shù)萬臺(tái)電腦

提交問題
如果您遇到以下情況:
a).網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)可疑文件，想要提供給火絨安全進(jìn)行分析。
b).系統(tǒng)出現(xiàn)異常，但是不方便我們遠(yuǎn)程進(jìn)行協(xié)助。
您可以按照以下方式提交相關(guān)信息，銘冠網(wǎng)安會(huì)根據(jù)您的問題與提供的信息做出相應(yīng)解決方案。
病毒問題
需要您提交以下信息:
1).問題詳情
2).火絨中心日志(包括《病毒防御日志》《系統(tǒng)防御日志》《網(wǎng)絡(luò)防御日志》，時(shí)間為30天)。
3).報(bào)毒終端日志。
4).報(bào)毒終端版本、病毒庫版本。
5).需要火絨安全進(jìn)行分析的樣本、隔離區(qū)內(nèi)提取的樣本。