Wszyscy już tam byliśmy - otrzymujesz ostrzeżenie ze skanera antywirusowego, że dany plik jest zainfekowany. Czasami alert pojawia się ponownie, nawet po powiadomieniu skanera antywirusowego o usunięciu infekcji. A może po prostu masz powody przypuszczać, że ostrzeżenie o wirusie może być fałszywie pozytywne. Oto sześć rzeczy, które warto rozważyć, aby określić sposób postępowania z podejrzanym lub wątpliwym sygnałem wirusowym.
Lokalizacja, lokalizacja i lokalizacja
Podobnie jak w przypadku nieruchomości, lokalizacja tego, co jest wykrywane, może mieć krytyczne znaczenie. Jeśli otrzymujesz powtarzające się ostrzeżenia o tej samej infekcji, może to być spowodowane nieaktywnym złośliwym oprogramowaniem, które jest uwięzione w folderach przywracania systemu lub pozostałością w innej lokalizacji, która uruchamia alert.
- Jak usunąć wirusy z przywracania systemu
- Usuń tymczasowe pliki internetowe i pliki cookie
- Wyczyść folder historii Internetu
Pochodzenie: od momentu, w którym się pojawia
Podobnie jak w przypadku lokalizacji, pochodzenie pliku może oznaczać wszystko. Do źródeł wysokiego ryzyka należą załączniki w wiadomościach e-mail, pliki pobrane z BitTorrenta lub innej sieci do udostępniania plików oraz nieoczekiwane pobrania wynikające z połączenia w wiadomości e-mail lub komunikatora. Wyjątkiem będą pliki, które przejdą test Celu opisany poniżej.
Cel: Czy tego chcesz, potrzebujesz, oczekujesz?
Test Celu sprowadza się do sprawy intencji. Czy jest to plik, którego oczekiwałeś i czego potrzebujesz? Każdy plik pobrany nieoczekiwanie powinien być uznany za wysoce ryzykowny i prawdopodobnie złośliwy. Jeśli nie został pobrany nieoczekiwanie, ale nie potrzebujesz tego pliku, możesz zmniejszyć ryzyko, po prostu je usuwając. Selektywne wybieranie tego, co możesz uruchomić w swoim systemie, jest prostym sposobem na zmniejszenie ryzyka infekcji wirusami (i unikanie zwiększania wydajności systemu przy użyciu niepotrzebnych aplikacji). Jeśli jednak plik został celowo pobrany i jest potrzebny, ale nadal jest oznaczany przez program antywirusowy, oznacza to, że został zdany test Celu i nadszedł czas na wydanie drugiej opinii.
04 z 06SOS: Second Opinion Scan
Jeśli plik przechodzi kroki Lokalizacji, Pochodzenia i Celu, ale skaner antywirusowy nadal mówi, że jest zainfekowany, jego czas na przesłanie go do skanera online w celu uzyskania drugiej opinii. Możesz przesłać plik do firmy Virustotal, aby przeskanować go przez ponad 30 różnych skanerów złośliwego oprogramowania. Jeśli raport wskazuje, że kilka z tych skanerów uważa plik za zainfekowany, weź je za słowo. Jeśli tylko jeden lub niewiele skanerów zgłasza infekcję w pliku, możliwe są dwie rzeczy: to naprawdę fałszywy alarm lub złośliwe oprogramowanie jest tak nowe, że nie jest jeszcze odbierane przez większość skanerów antywirusowych.
05 z 06Wyszukiwanie według MD5
Plik może być nazwany cokolwiek, ale suma kontrolna MD5 rzadko kłamie. MD5 to algorytm, który generuje przypuszczalnie unikalny skrót kryptograficzny dla plików. Jeśli używałeś Virustotal do drugiego skanowania opinii, w dolnej części tego raportu zobaczysz sekcję zatytułowaną "Informacje dodatkowe". Tuż poniżej znajduje się MD5 dla przesłanego pliku. Możesz również uzyskać MD5 dla dowolnego pliku za pomocą narzędzia takiego jak darmowy MD5 Chaos z Elgorithms. Bez względu na to, w jaki sposób zdecydujesz się uzyskać MD5, skopiuj i wklej MD5 pliku do ulubionej wyszukiwarki i zobacz, jakie wyniki będą wyświetlane.
06 z 06Uzyskaj analizę ekspercką
Jeśli wykonałeś wszystkie powyższe kroki i nadal nie masz wystarczających informacji, które pomogłyby Ci ustalić, czy powiadomienie o wirusie jest prawdziwe lub fałszywie pozytywne, możesz przesłać plik (w zależności od rozmiaru pliku) do analizatora zachowania online. Należy zauważyć, że wyniki dostarczone przez te analizatory zachowania mogą wymagać wyższego poziomu wiedzy specjalistycznej do interpretacji. Ale jeśli dostałeś się tak daleko w krokach, prawdopodobnie nie będziesz miał problemu z odczytaniem wyników!
- PC Tools ThreatExpert
- Oprogramowanie Sunbelt CWSandbox
