病毒問題

使用火絨進行查殺后，可能會發(fā)現(xiàn)以下企業(yè)內(nèi)常見病毒，此節(jié)內(nèi)容主要介紹此類常見病毒的傳播、危害、識別方式。

1.勒索病毒：
勒索病毒主要通過RDP、釣魚郵件、漏洞攻擊等方式進行傳播。勒索病毒成功運行后，會根據(jù)病毒內(nèi)的規(guī)則，加密所有符合條件的文件。因勒索病毒多使用非對稱加密算法，在沒有獲取到密鑰的情況下無法解密，中毒后損失較大。
此類病毒被火絨查殺時，報毒名稱為Ransom/病毒名。
需要注意的是以RDP弱口令為主要傳播方式的勒索病毒，黑客在獲取到Windows賬戶的密碼后，通過”遠程桌面”登錄到企業(yè)內(nèi)，在成功登陸后，會尋找高價值服務(wù)器(文件服務(wù)器、OA、業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫)，加密其中文件進行勒索。
火絨企業(yè)版對該傳播方式有額外的防護措施，但除了部署安全軟件，您也可以按照我們提供的《部署火絨后的安全加固建議》文檔，對火絨和Windows進行有針對性的配置，以提高安全性。

2.感染型病毒：
感染型病毒是企業(yè)內(nèi)常見病毒，此類病毒多會感染可執(zhí)行文件，導(dǎo)致在用戶在使用被感染的軟件時，病毒會先運行，以達到在系統(tǒng)內(nèi)常駐的目的，并會通過可移動設(shè)備，文件共享等渠道傳播。
此類病毒被火絨查殺時，報毒名稱為”Virus/病毒名”，例如”Virus/Ramnit”、”Virus/Sality”等。
發(fā)現(xiàn)此類病毒后，需要進行全盤查殺，查殺前修改火絨掃描時機(監(jiān)控級別)，全盤掃描時盡量不要運行其他程序。

在處理病毒時，如該文件為被感染程序，火絨會清除文件內(nèi)的病毒代碼，修復(fù)該文件，如文件是病毒本體、被感染導(dǎo)致文件損壞、無法寫入等情況，火絨會刪除該文件(文件在C:\windows目錄下，如文件無法清除需要刪除，為了保持系統(tǒng)穩(wěn)定，火絨不會主動刪除文件該文件，日志內(nèi)會顯示處理失敗)，如不確認是否可以清除，可與我們?nèi)〉寐?lián)系幫您進行判定。

3.挖礦病毒：
挖礦病毒已經(jīng)是企業(yè)內(nèi)最常見的病毒之一，此類病毒運行時會大量占用系統(tǒng)資源，影響企業(yè)內(nèi)的業(yè)務(wù)，妨礙員工辦公。挖礦病毒的傳播方式較多，企業(yè)內(nèi)常見的傳播方式有內(nèi)網(wǎng)橫向傳播、軟件安裝包攜帶、黑客入侵投放等。
火絨查殺到此類病毒時，報毒名稱多為”Trojan/挖礦程序名”，例如”Trojan/CoinMiner”、”Trojan/JS.CoinMiner”。正常情況下，電腦內(nèi)發(fā)現(xiàn)此類病毒只需要用火絨終端掃描查殺即可，在查殺結(jié)束后需要重啟。
因挖礦病毒多會攜帶其他模塊，例如利用永恒之藍進行傳播的模塊等，所以在查殺挖礦病毒時，除了挖礦組件外，還可能會查殺到報毒名為”Exploit/EquationDrug”或”HackTool/EquationDrug”的其他功能模塊。

4.黑客工具：
火絨對黑客工具的定義為”可以被黑客利用，用來控制用戶計算機或發(fā)起網(wǎng)絡(luò)攻擊的工具程序”，包括挖礦工具、端口掃描工具、ARK工具、遠程控制工具等。
在查殺到此類程序時，火絨的報毒名稱多為”HackTool/工具名”，例如”HackTool/PowerTool.a”、”HackTool/PortScan.a”等，在企業(yè)環(huán)境內(nèi)，發(fā)現(xiàn)此類工具多是遭受攻擊，黑客試圖使用此類工具繼續(xù)對內(nèi)網(wǎng)進行滲透時被火絨攔截。
在企業(yè)內(nèi)查殺到此類工具，如并非為企業(yè)內(nèi)常用工具或運維人員所用工具，需及時進行排查，對所查殺工具的來源與作用進行確認。也可直接與火絨安全進行聯(lián)系，協(xié)助您進行排查。

5.廣告程序：
廣告程序會通過多種途徑進入系統(tǒng)，多為未經(jīng)用戶允許便進行安裝(捆綁安裝攜帶、軟件自身的廣告組件等)。
運行時多會通過彈出式廣告、劫持瀏覽器主頁、暗刷等方式盈利，對用戶日常的電腦使用，辦公等造成影響。此類程序被火絨查殺時，報毒名稱為”Adware/名稱”，例如”Adware/FakeAV.ks”、”Adware/PuddingZip.g”等?；鸾q在查殺此類程序時，只會處理該程序的廣告模塊，不會影響該程序的正常使用，但是會出現(xiàn)該軟件升級時，將廣告模塊恢復(fù)的情況，會導(dǎo)致火絨對此文件頻繁查殺。出現(xiàn)此類情況時，如該軟件需要繼續(xù)使用，建議您將相關(guān)文件添加到白名單，如此程序并非您主動安裝(捆綁)，或不需要使用，建議您進行卸載。
對于軟件的彈窗廣告，火絨提供了安全工具”彈窗攔截”，可阻止此類窗口出現(xiàn)。

非病毒問題

1.漏洞掃描：
使用火絨”漏洞修復(fù)”功能，掃描并修復(fù)Windows漏洞時，可能因為多種原因?qū)е卵a丁下載或安裝失敗，該小節(jié)內(nèi)容為常見的”漏洞修復(fù)”問題與處理辦法。
1、火絨”漏洞修復(fù)”掃描出的補丁數(shù)量，與”Windows Update”提供的補丁數(shù)量不一致
火絨默認不推送部分功能性補丁，例如IE跨版本升級(如IE10升級到IE11)、.Net跨版本升級、語言包等，除減少了功能性補丁外，微軟提供的補丁部分存在包含與替代關(guān)系，火絨會根據(jù)測試后的情況，調(diào)整規(guī)則庫，在高危漏洞全部安裝的情況下，調(diào)整被替代的補丁推送，所以會比系統(tǒng)推送的補丁數(shù)量少。
2、補丁”下載失敗”

此問題多為網(wǎng)絡(luò)環(huán)境異常導(dǎo)致，如需要安裝補丁的電腦可以訪問網(wǎng)絡(luò)，可以嘗試ping以下地址:
download.windowsupdate.com
download.microsoft.com
如無法ping通，需要排查網(wǎng)絡(luò)是否存在故障，若網(wǎng)絡(luò)環(huán)境無異常依舊下載失敗，可聯(lián)系火絨協(xié)助您排查該問題。
需要修復(fù)漏洞的電腦是內(nèi)網(wǎng)，無法于微軟服務(wù)器下載補丁，此時需要檢查”火絨中心”是否能夠連接戶聯(lián)網(wǎng)。
在火絨中心可以訪問網(wǎng)絡(luò)的情況下，需要修改”火絨中心->漏洞修復(fù)”功能設(shè)置，勾選從中心下載補丁。

火絨中心也部署在內(nèi)網(wǎng)的情況下，需要使用”離線升級工具”，相關(guān)使用方法可以查看使用文檔。

3、補丁”安裝失敗”
出現(xiàn)補丁”安裝失敗”的情況，多為系統(tǒng)環(huán)境內(nèi)，更新相關(guān)環(huán)境、組件、服務(wù)出現(xiàn)異常。
當您出現(xiàn)此類問題時，可與我們?nèi)〉寐?lián)系，幫您找到補丁安裝失敗的原因，并提供解決方案。

2.軟件沖突：
a).透明加密軟件
企業(yè)內(nèi)在使用透明加密軟件(防泄密程序)時，常會遇到宏病毒在掃描時不報毒，打開文件時火絨提示存在宏病毒。
出現(xiàn)此問題的原因為，安裝防泄密軟件后，被保護的文檔內(nèi)容被加密，只有使用防泄密軟件允許的程序打開(Office Word、WPS等)該文件，或事先使用該軟件解密文件內(nèi)容后，文檔內(nèi)容才可以被其他軟件正常訪問。
當您遇到此類問題時，如該防泄密軟件有白名單功能，可先將火絨目錄下的可執(zhí)行程序添加到白名單(HipsDaemon.exe\HipsMain.exe\HipsTray.exe)后，再次掃描查看問題是否解決。
如該防泄密程序沒有白名單功能，或添加白名單后依舊無法正常進行掃描，可聯(lián)系防泄密程序廠商與火絨安全，共同解決此問題。

其他問題

1.藍屏：
火絨使用過程中出現(xiàn)藍屏問題時，需要提取該電腦上的藍屏dump并上傳，我們會幫您分析藍屏原因
dump文件位置:
%SystemRoot%\Memory.dmp
%SystemRoot%\Minidump*.dmp(根據(jù)日期命名)
如此目錄下沒有發(fā)現(xiàn)相關(guān)文件，可以檢查以下設(shè)置。
打開運行，輸入”systempropertIEsadvanced”，打開”高級系統(tǒng)設(shè)置”。

點擊”高級->啟動和故障恢復(fù)->設(shè)置”，按照圖片進行設(shè)置。如沒有”自動內(nèi)存轉(zhuǎn)儲”選項，可根據(jù)需求選擇”核心內(nèi)存轉(zhuǎn)儲(推薦)”、”最小內(nèi)存轉(zhuǎn)儲”、”完全內(nèi)存轉(zhuǎn)儲”。

2.惡意網(wǎng)址攔截：
火絨終端部署后，根據(jù)局域網(wǎng)內(nèi)狀況不同，可能會出現(xiàn)大量”惡意網(wǎng)址攔截日志”，此小節(jié)列出企業(yè)內(nèi)較常見的被攔截網(wǎng)址，并提供解決方案。
出現(xiàn)以上網(wǎng)址的攔截，是因您電腦中安裝了快壓導(dǎo)致，可根據(jù)您的需求選擇是否繼續(xù)使用或卸載該軟件。
相關(guān)報告:知名壓縮軟件”快壓”傳播病毒和多款流氓軟件 劫持流量
出現(xiàn)以上網(wǎng)址的攔截，是因您電腦中安裝了布丁系軟件導(dǎo)致。
Clover
東方瀏覽器
東方輸入法
東方頭條
萬能瀏覽器
萬能看圖
萬能五筆
智能云五筆輸入法
智能云輸入法
布丁壓縮
布丁桌面
水果輸入法

可根據(jù)您的需求選擇是否繼續(xù)使用或卸載該軟件，此類軟件在卸載后有殘留服務(wù)訪問以上網(wǎng)址，重新安裝軟件的行為，如您電腦上未發(fā)現(xiàn)此系列軟件但依舊存在”惡意網(wǎng)址攔截”日志，可聯(lián)系我們幫您進行排查。
相關(guān)報告:灰色產(chǎn)業(yè)鏈成病毒傳播最大渠道 流量生意或迎來最后的瘋狂

出現(xiàn)以上網(wǎng)址的攔截，是因您電腦中存在DTStealer木馬導(dǎo)致，除了攔截網(wǎng)址訪問，可能會同時出現(xiàn)”隱藏執(zhí)行PowerShell”等攔截日志，關(guān)于此病毒只需使用火絨全盤查殺，重啟即可。
相關(guān)報告: “驅(qū)動人生”利用高危漏洞傳播病毒 12月14日半天感染數(shù)萬臺電腦

提交問題
如果您遇到以下情況:
a).網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)可疑文件，想要提供給火絨安全進行分析。
b).系統(tǒng)出現(xiàn)異常，但是不方便我們遠程進行協(xié)助。
您可以按照以下方式提交相關(guān)信息，銘冠網(wǎng)安會根據(jù)您的問題與提供的信息做出相應(yīng)解決方案。
病毒問題
需要您提交以下信息:
1).問題詳情
2).火絨中心日志(包括《病毒防御日志》《系統(tǒng)防御日志》《網(wǎng)絡(luò)防御日志》，時間為30天)。
3).報毒終端日志。
4).報毒終端版本、病毒庫版本。
5).需要火絨安全進行分析的樣本、隔離區(qū)內(nèi)提取的樣本。