火绒安全实验室 火绒企业安全 6月23日

感染型病毒是用户特别是企业用户最常遇到的病毒种类之一，此类病毒凭借隐蔽的传播特性，可长期感染、盘踞在用户的关键运行程序、重要文件上，造成即使发现病毒也“不敢杀、不会杀、不想杀”的局面，最终任由病毒四处扩散，威胁终端安全。 为此，火绒根据多年累积的处理、解决感染型病毒的实际案例，以及专业的终端安全防范知识，专门总结了感染型病毒的特点、危害，以及使用火绒的有效、彻底查杀办法，包括如何防止重复感染、不损坏文档程序等关键问题，以此帮助广大用户避免因该病毒带来的风险和损失。

目前，感染型病毒特别是老旧的家族，在全网的感染量依旧很大。根据“火绒威胁情报系统”监测和评估，2021年上半年感染型病毒活跃度依旧高涨，其中， Synares、Ramnit两大家族感染终端数量均超过百万。排名前十的感染型病毒家族如下图：

 此外，根据“火绒任务处理平台”相关信息反馈，火绒每个月都会收到来自个人和企业用户，关于处理感染型病毒的咨询或求助。
 

（1）附着“宿主”感染型病毒入侵终端后，会“寄居”在可执行程序上，包括各类软件、办公文档等，导致用户在查杀的时候投鼠忌器，怕损坏正常程序、文档，因而任由病毒存在。 

 （2）感染性强感染型病毒会迅速感染终端上所有可执行文件，导致安全软件频繁报毒，容易让用户以为是误报而选择信任。此外，感染型病毒还会通过邮件、共享文件夹、U盘等各类方式对外传播。因此，如果终端内病毒没有清理干净，就很容易造成其卷土重来的局面。

感染型病毒因为具备隐蔽性、潜伏性，可触发性等等各种特征，所以用户往往不能及时分辨出来。这里，火绒就为各位总结了如何判断中招感染型病毒的办法。判断是否中了感染型病毒，可以通过两个方式： 

一是看报毒名，火绒的报毒名以“Virus”开头，遇到后直接查杀即可。

二是对于大众用户来说，如果很多看似正常的软件都被报毒了，就要留心注意了，这个时候设备内是不是存在了感染型病毒。 此外，值得注意的是，火绒用户可以在火绒信任区查看一下被“信任”过的文件，从而自查是否有感染型病毒混在其中。

一般来说，感染型病毒往往具备以下几个危害特征： 

（1）携带恶意代码可能携带后门、窃取信息、点击器、下载器等相关恶意代码。2019年，火绒发现感染型病毒Ramnit通过淘宝游戏店铺传播，同时能够感染电脑中所有可执行文件和HTML文件，窃取用户上网信息（譬如浏览器cookies等），并且通过这些被感染文件进行重复传播。 

（2）恶意损害文件会导致被感染文件或者程序无法打开，出现“卡死”状态。2020年6月，火绒发现名为“普天同庆”的感染型病毒，可感染知名三维建模和动画软件玛雅的脚本文件，导致制作的场景源文件携带该病毒，用户打开玛雅源文件时陷入“卡死”状态。 

此外，火绒安全团队在处理企业问题的时候，更多的是遇到老旧感染型病毒，在企业内网泛滥清除不干净的情况。这些老旧的感染型病毒虽然不再做技术更新，但却因长期存在，也会潜移默化带来恶劣影响：

 （1）老旧感染型病毒会影响系统和系统上软件的稳定性，如用户在运行其它的程序，或更新程序后，与病毒产生冲突，从而损坏或无法打开程序，影响工作、业务展开。

 火绒接到过某企业用户查杀病毒的求助。经分析发现，为感染型病毒“Spreadoc”，而该病毒早于2013年就出现，并在该企业内长期潜伏数年，最终因为办公文档升级与病毒产生冲突导致打不开，才寻求帮助。

 （2）用户特别是企业用户对外发送邮件时携带感染型病毒后，会导致邮件服务商或合作方的安全软件直接拦截查杀，影响业务进程，造成误会。 

（3）随着公司规模扩大，病毒感染量也在扩散，导致大量的系统存储空间被病毒占据，且清除病毒的成本也会大大增加。 

1、感染前

无论是个人还是企业，都需要具备安全意识。在日常的工作和生活中，也要做到不要接收来历不明的文件，不要打开可疑的链接，不要暴露真实的身份信息，不要访问提示“危险”的网站。

 此外，要认识到感染型病毒带来的长期危害，及时部署安全软件，定期进行查杀；也要相信安全软件发出的警示信息，及时查杀病毒。同时，也要定期更新系统和为主机打补丁，修复相应的高危漏洞，让网络病毒无可趁之机。

 2、感染后

不在终端上使用U盘等外设，不发送邮件、通过通讯工具传递文档，以免感染其它终端。 

部署安全软件进行全网查杀。火绒对于感染型病毒能够安全、有效的查杀，得益于火绒强大的查杀策略与机制：

 1、全网部署深度清除，避免重复发作

（1）发现感染型病毒后，可将火绒的【文件实时监控——扫描时机】功能调整为为中、高模式。 

（2）进行全盘扫描查杀。

（3）重启后再次全盘扫描一次，避免遗漏。

（4）企业用户注意：需全网部署火绒，避免未安装火绒的终端残存病毒，通过共享网络再次感染全网。

  2、火绒只清除病毒，不损坏程序、文档由于感染型病毒会隐藏在可执行文件、程序中，暴力的删除整, , , , , , 个受感染文档文件并不可取，火绒用户请放心查杀，火绒对于此类病毒都会只清除，不损坏文件。实际上，一直以来，火绒都在坚持灵活准确使用删除与清除这两种杀毒方式，可以做到正确识别，正确查杀。
 

 删除病毒，部分病毒能独立传播，因此识别后直接查杀即可；清除病毒，只将附着在正常文件上的病毒去除，不破坏文件。 

3、使用火绒全盘查杀病毒的过程中，依旧可运行程序、文档 将火绒的【文件实时监控——扫描时机】功能调至中、高模式后，就可以对运行中的程序、文档进行查杀扫描，并阻止程序、文档中的病毒继续向外感染其它目标，帮助用户在不中断业务、工作的情况下完成全盘扫描。