病毒防范管理制度(共9篇)
第一章•总则
第一条:为科学、有效地管理计算机机房,促进全市工商行政管理网络信息系统安全的应用、高效运行,特制定本规章制度;
第二条:各旗市(区)局信息中心应建立健全计算机病毒安全管理制度,成立计算机病毒安全领导小组,并指定专人负责计算机病毒防范工作;
第二章、关于计算机防计算机病毒软件的安装与使用 第三条:统一安装由市局信息中心购置或许可的杀毒软件。任何单位、个人不得擅自安装、使用未经市局信息中心许可的杀毒软件;
第四条:计算机病毒防范人员要对系统内的计算机进行定期杀毒,建立完整的计算机安全运行日志、操作记录及其它与安全有关的资料并做好杀毒记录;
第五条:安装的防计算机病毒软件,要定期或及时更新(升级)计算机病毒防范产品的版本(或登录市局服务器进行更新);
第六条:网管人员要定期间查看市局病毒公告;
第七条:对新购进的计算机及设备,为防止原始计算机病毒的侵害,要组织计算机病毒防范人员进行检查后方可安装运行;
第八条:软盘、光盘等移动媒体,以及外来的系统和软件,下载软件等,要先进行计算机病毒检查,确认无计算机病毒后才可以使用;严禁使用未经清查的、来历不明的软盘、光盘等;
第九条:能用硬盘启动的,尽量不要使用软盘、光盘启动计算机; 第十条:严禁使用盗版软件,特别是盗版的杀毒软件,严禁在工作计算机上安装、运行各类游戏软件;
第十一条:新系统安装前应进行病毒例行检测;
第十二条:经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用;
第三章、关于网络接口的管理
第十三条:原则上不允许本系统局域网内计算机登录Internet网,如有特殊情况,对获准上Internet网的计算机要设卡建档,做好记录,责任到人,并将其计算机列为重点安全防范对象。
第十四条:如要使用Internet时,应立即与本系统的内网分开,再次与局域网连接时,必须先进行查毒;
第十五条:局域网的电子邮件要与Internet网的电子邮件分开; 第十六条:在接入Internet网时,严格控制下载软件,谨慎接收电子邮件;在接收电子邮件时,不得随意打开邮件附件;
第十七条:对服务器,要采用市局指定的网络防计算机病毒软件,并对经过服务器的信息进行监控,防止计算机病毒通过服务器扩散、传播;
第十八条:对共享的网络文件服务器,应特别加以维护,控制读写权限,尽量不在服务器上运行软件程序;
第四章、关于数据备份
第一条:系统的主要数据要经常备份,或自动异机备份; 第十九条:备份存储介质要由专人保管,并有备份标记; 第五章、关于计算机病毒防范预报预警机制的建立 第二十条:在计算机病毒发作的高风险日之前,根据市局信息中心的提示,通过调整系统时钟等措施,避开“计算机病毒”发作的高风险日;
第二十一条:在一些破坏性较大的计算机病毒发作日期前,要及时通知有关用户作好准备;
第二十二条:跟踪计算机病毒发展的最新动态,及时了解计算机病毒,特别是有严重破坏力的计算机病毒的爆发日期或爆发条件,及时通知所有科、室、所、队进行防范;
第六章 关于计算机病毒防范的日常管理
第二十三条:随时注意计算机的各种异常现象,一旦发现,应立即用查毒软件仔细检查,对重大问题要立即上报市局信息中心;
第二十四条:经常更新与升级防杀计算机病毒软件的版本; 第三条:对重点岗位的计算机要定点、定时、定人作查毒杀毒巡检;
第二十五条:经常关心防杀计算机病毒厂商公布的计算机病毒情报,及时了解新产生的、传播面广的计算机病毒,并知道它们的发作特征和存在形态,及时发现计算机系统出现的异常是否与新的计算机病毒有关;
第七章、现或受到“计算机病毒”攻击后的管理措施 第二十六条:当出现计算机病毒传染迹象时,立即隔离被感染的系统和网络,并上报计算机安全领导小组,由计算机病毒防范人员进 行处理,不许带“毒”继续运行;
第二十七条:计算机病毒防范人员根据具体情况制定处理方案,并向计算机安全领导小组汇报;
第二十八条:发现计算机病毒后,一般应利用防杀计算机病毒软件清除文件中的计算机病毒;杀毒完成后,重启计算机,再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒,并确定被感染破坏的数据是否确实完全恢复;
第二十九条:进行查毒、杀毒处理时,应先对数据进行备份,并交由原使用人员保管,不得将计算机内的有关数据外泄。
第三十条:如果破坏程度比较严重,或感染的是重要数据文件,计算机病毒防范人员不要盲目修复,而要立即上报市局计算机安全领导小组,由市局信息中心指定计算机病毒防范的专业人员处理;
第三十一条:涉密计算机出现安全隐患时,必须在有关人员在场的情况下处理。
第三十二条:对于杀毒软件无法杀除的计算机病毒,应将计算机病毒样本上报市局信息中心。
第三十三条:一旦发生计算机病毒疫情,要启动应急计划,采取应急措施,将损失降到最小。
第八章、计算机病毒防范管理制度的实施与检查 第三十四条:各室要加大计算机病毒防范的管理力度,提高管理水平,认真执行和落实计算机病毒防范管理制度的各项规定;
第三十五条:各室要建立检查监管小组,以定期常规检查与特别 日期专项 检查、集中检查与分散检查相结合方式,对系统的计算机病毒防范管理制度的实施情况进行检查;
一、我国网络病毒的特点
与以往的计算机网络病毒相比, 我国目前的网络病毒呈以下几个特点:
(一) 计算机用户病毒感染呈上升趋势。“2007年, 我国网络病毒感染率为91.4%, 为历年来最高。多次感染病毒的比率为54%, 仍然维持在较高水平。”[1]在不同的时期, 出现不同形式的网络病毒, 继2006年5至6月份相继出现针对银行的木马病毒和进行网络敲诈活动的“敲诈者”病毒以后, 到2006年11月, 我国又连续出现了“熊猫烧香”、“仇英”、“艾妮”等盗取网上用户账号、密码的病毒。病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动, 通过网络贩卖病毒、木马, 教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多, 网络病毒犯罪呈公开化、大众化趋势。
(二) 网络病毒传播的途径发生变化。以往网络病毒传播主要通过网络进行。“目前, 通过移动存储介质传播的比例明显上升, 从2006年的23%上升到2007年的40%。”[1]存储介质已经成为网络病毒感染率上升的主要原因。由于U盘等各种类型的移动存储介质的广泛使用, 病毒、木马通过Autorunini文件自动调用执行U盘中的病毒、木马等程序, 然后感染用户的计算机系统, 进而感染其他U盘。这种情况表明, 必须加强对移动存储介质的管理, 特别是加强对U盘的加密技术的研究和使用加密U盘。通过修改系统配置, 关闭系统自动运行功能等方法, 提高U盘的安全级别, 增强防护能力。与往年相比, 2007年通过网络下载或浏览感染病毒的比例在下降。但是, 从网络监测和用户求救的情况看, 大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码, 当存在安全漏洞的用户访问这些网页时, 木马会侵入用户系统, 然后盗取用户敏感信息或者进行攻击、破坏。这种通过浏览页面方式进行攻击的方法具有较强的隐蔽性, 用户难于发现。因此, 潜在的危害性更大。
(三) 旧病毒继续存在, 新病毒不断出现。2007年我国存在的十大病毒中, 2006年已经存在的“木马代理”病毒仍然蝉联了2007年的最流行病毒。这表明木马具有强大的生存能力。这种病毒可以从指定的网址下载木马病毒或其他恶意软件, 还可以通过网络和移动存储介质传播, 当系统接入互联网, 可能会盗取用户的账号、密码等信息并发送到指定的信箱或者网页中。十大病毒与盗取密码有关的病毒还有“网游大盗”、“艾妮”、“熊猫烧香”、“梅勒斯”、“QQ木马”和“传奇木马”, 它们都具有窃取用户的游戏账号和密码的功能。“德芙”和“灰鸽子”具有后门的功能, 感染此种病毒的系统可以被黑客远程控制。Small是在2007年4月份出现的木马, 它可以从设定的国外网站下载木马, 木马会自动收集用户系统的信息上传到指定的网站。
(四) 网络病毒造成的损失不断加大。调查结果显示, 浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是网络病毒造成的主要破坏后果。“2007年密码被盗占调查总数的14.24%, 比2006年增长了1个百分点。2006年‘熊猫烧香’病毒利用蠕虫的传播能力和多种传播渠道帮助木马传播, 攫取非法经济利益, 给被感染的用户带来重大损失。”[4]继“熊猫烧香”之后, 复合型病毒大量出现, 如:仇英、艾妮等病毒。同时, 网上贩卖病毒、木马和僵尸网络的活动不断增多, 利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
(五) 用户系统感染的病毒本土化趋势更加明显。很多病毒主要是针对国内一些应用程序专门制作的, 如每一款网络游戏和网络银行都有相应的病毒程序与其相适应。由于病毒编制者广泛采用加壳技术, 病毒变种速度快, 网上甚至出现病毒制作工具, 可以根据需求直接制作生成新病毒。
二、我国网络病毒增加的主要原因
分析我国网络病毒增加的情况, 可以看出, 我国网络病毒增加主要由以下几个方面的决定的。
(一) 散布网络病毒犯罪成本太低。
众所周知, 人们之所以不敢犯罪, 一个很重要的原因是犯罪成本太高。目前传播网络病毒成上升趋势, 就是因为传播网络病毒成本很低。以制作熊猫烧香病毒为例, 它造成了我国几十万台计算机染毒, 直接和间接损失以亿元计, 而首犯在取得14万元经济利益的同时, 最后只“处四年有期徒刑”。[4]由于该罪犯有攻击其他计算机的能力, 已经有公司希望在其刑期服满之后, 高薪聘请他加盟。如此犯罪成本, 使很多青年人对传播网络病毒犯罪跃跃欲试。与此同时, 由于因特网是一个世界网络体系, 使计算机网络病毒传播带有世界性特征, 控制传播网络病毒却很难。即罪犯遍布世界各地, 而中国的网络执法人员只能在中国境内行使执法权, 这就为世界各地传播网络病毒犯罪留下了逃避法律制裁的空间。同时, 也给抓住罪犯增加了不小的难度。犯罪成本低加上制裁难度大, 使一些原来无犯罪的网络“高手”, 也想通过传播网络病毒这一犯罪途径一显“身手”。
(二) 我国网络安全技术落后。
与西方国家相比, 我国在网络安全技术方面差距很大, 具体表现在:一是我国的信息安全研究方面, 目前刚进入网络信息安全研究阶段。二是国内开发研制的防火墙、安全路由器、安全网管、黑客入侵检测、系统脆弱性扫描等软件, 产品的完善性、规范化、实用性还存在许多不足。三是在系统安全协议的研究方面差距更大。四是建立创新性安全理论和系列算法方面仍存在巨大的差距。五是操作系统中的安全缺陷相当多, 使入侵者有不少空子可钻。六是通信线路易遭物理破坏, 易被搭线窃听, 无线通信易遭截获、监听。七是我国还缺乏自己的操作系统, 缺乏计算机网络系统和数据库管理系统统一操作标准, 缺乏统一的信息安全标准、密码算法和协议标准。八是我国对发达国家信息设备和信息技术存在着很强的依赖性, 对引进技术和设备缺乏必要的信息管理和技术改造。尤其是系统安全和安全协议更是如此。“美国出口到中国的密钥芯片都留有一个后门, 只要美方愿意, 随时可以启动。美国出口到我国的计算机安全系统也只有C2级, 是美国国防部规定的8个安全级别之中的倒数第三级。”[6]
(三) 人们对网络病毒犯罪的重视程度远远不够。
由于互联网存在的时间还不长, 大多数人对互联网还处于认知的“初级阶段”。很多人对在网上侵占他人利益, 破坏他人财产的行为是否是犯罪都不清楚。更谈不上要将这些行为人定为罪犯。正是在这一思想基础上, 人们对传播网络病毒犯罪的重视程度远远不足。表现为, 是否犯罪界定不明, 没有制定相关法律法规, 已有的法规随着网络技术的不断进步已经不适应。由于国家对传播网络病毒犯罪的界定不清, 对传播网络病毒的执法力度自然不足。表现在:一是由于因特网是一个才刚刚兴起的新生事物, 很多网络法规没有建立, 使网络执法没有法律依据。二是网络执法队伍建设严重滞后。它不仅体现在建立的时间短、人数少, 还体现在队伍的素质比较低, 跟不上花样翻新的传播网络病毒犯罪的要求。
三、防范网络病毒的措施
防范网络病毒是一个系统工程, 不仅需要人们提高防范网络病毒的意识, 加强防范网络病毒的制度建设, 而且还需要技术上不断更新和完善, 因此, 需要做好以下几方面的工作:
(一) 加强教育, 强化公共信息安全意识。所谓的信息安全意识, 是指人们在上网活动中对危害以及保证信息安全意义的正确认识, 发现影响信息安全现象和行为的敏锐性, 维护网络信息安全的主动性。强化上网人员的信息安全意识, 就是要让上网人员认识到, 网络信息安全是网络正常而高效运转的基础, 是保障公民利益和国家信息安全甚至国家安全的重要前提, 从而牢固树立信息安全第一的思想。为此, 一是要通过大众传播媒介, 普及信息安全知识, 增强公民信息安全意识。二是要积极组织各种专题讲座和培训班, 培养信息安全人才, 确保防范手段和技术措施的先进性和主动性。三是要积极开展安全策略研究, 明确安全责任, 增强网络活动的责任心。
(二) 采用多重网络技术, 保证公共信息安全。目前, 主要的网络安全技术包括:防火墙系统、物理隔离、VPN (虚拟专用网络) 等。防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术。使用防火墙, 一方面是防止来自Internet的攻击;另一方面是防止内部非授权用户从内部其他网段对服务器的攻击。电子政府内、外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序, 以便进行网络维护, 同时经常扫描整个内部网络, 发现任何安全隐患及时更改, 做到有备无患。政府上网必须实行网络的内外网划分, 实现内外网的物理隔离。要运用VPN新技术, 为使用者提供一种通过公用网络, 安全地对政府信息网络系统进行远程访问, 同时, 要十分注意政府信息网络的系统安全问题。包括操作系统、数据库和服务器 (如Web服务器、EMAIL服务器) 等系统的安全。
(三) 运用密码技术, 强化通信安全。应围绕数字证书应用, 为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子政府信息网络中各种敏感的数据进行数据加密处理, 并且在数据传输中采用加密传输, 以防止攻击者窃密。电子政府信息网络中的各种应用和计算机系统都必需通过身份认证来确认用户的合法性, 然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认证时, 应采用基于PKI技术, 借助第三方 (CA) 颁发的数字证书数字签名来确认彼此身份。”[7]为了从根本上保证我国网络的安全, 我国安全产品的应用应建立在国内自主研发的产品基础上, 国外的先进技术可以参考, 但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究, 以提高我国信息企业的技术和管理水平, 促进政府防止网络病毒建设。
(四) 加强技术管理, 切实做到使用安全。一是要严格控制内部人员对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录, 对有经常交换信息需求的用户, 在共享时必须加上必要的口令认证机制, 即只有通过口令的认证才允许访问数据。二是对涉及秘密信息的用户主机, 使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。并对服务器中的数据库进行安全备份。三是切实保证媒体安全。包括媒体数据的安全及媒体本身的安全。要防止系统信息在空间的扩散。因为“计算机系统通过电磁辐射的截取距离可以达到几百甚至上千米。”[4]为了防止系统中的信息在空间上的扩散, 应在物理上采取一定的防护措施, 减少或干扰扩散出去的空间信号。这样做, 对确保政府网络安全将发挥重要作用。
(五) 加强制度建设, 强化网络安全。常言道, “三分技术、七分管理”。即使采用最先进的安全技术, 如果不对人员的权限进行有效合理的分配, 照样可以造成损失。电子政务运行的安全管理包括三个层次的内容:组织建设、制度建设和人员安全教育。组织建设是指有关信息安全管理机构的建设。应建立以公安机关为中心, 以计算机应用单位安全领导小组为重点, 以计算机系统安全员为基础, 以保护计算机信息系统安全为目标的全社会网络安全防范体系。要抓好安全责任制度的落实。计算机网络系统运行管理部门必须设有安全组织或安全负责人, 其基本职责包括:保障本部门计算机网络的安全运行。为了更有效地制止网络病毒犯罪, 必须加强“网上警察”队伍建设, 公安部门应吸纳一大批高级信息安全人才, 充实到网上警察队伍中去, 提高网上警察的快速反应能力、侦察能力与追踪水平, 以适应反网络病毒和网上犯罪的需要。要制定安全管理的方案和规章制度, 定期检查安全规章制度的执行情况。要按时收集安全记录, 及时发现薄弱环节并提出改进措施, 向安全监督机关和上一级主管部门报告本系统的安全情况。要加强对内部操作人员的安全教育和监督, 严格网络工作人员的操作职责, 加强密码、口令和授权的管理, 及时更换有关密码、口令, 重视软件和数据库的管理和维护工作, 加强对磁盘文件和U盘的发放和保管, 禁止在网上使用非法软件等。
(六) 健全法律, 严格执法。法律是减少网络病毒犯罪的最有力手段。我国立法部门应加快立法进程, 吸取和借鉴国外网络信息安全立法的先进经验, 尽快制定和颁布《个人隐私保护法》《数据库振兴法》《信息网络安全法》《电子凭证 (票据) 法》《网上知识产权法》等一系列法律, 使电子政务信息安全管理走上法制化轨道。要废除和摆脱传统的简单化的安全机制和粗放式的安全管理方法, 使网络控制、信息控制信息资源管理和防止泄密有法可依, 并得到技术上的支撑健全信息网络安全标准认证和质量检测机制, 由信息系统建设统管部门组织制定有关网络安全条例规定, 并发挥职能部门的监管作用。通过建立网络安全法规体系, 规范和维持网络的正常运行。
摘要:目前, 网络病毒已经成为一大公害。为了在尽短的时间内减少网络病毒的危害, 本文分析了网络病毒的特点和产生的原因, 并提出了减少网络病毒的对策。
关键词:网络病毒,特点,对策
参考文献
[1].2.3.新浪科技, 2008年4月22日
[4].5.湖北日报, 2007年9月24日 (第一版)
[6].李会欣, 冯杰.福州大学学报, 2002, 3:57、59
近年来频繁发生的大规模病毒感染事件表明,网络攻击不仅速度越来越快,其数量也是不断增多。据Carnegie Mellon CERT协调中心的数据,全球IT安全事件发生的数量在2001年是52658起,到2002年就增加到了82094起。而在2003年,仅在第一季度就已经发生了42586起!
如果按照这一趋势发展下去,将来的安全威胁必将更加快速和频繁。应对这些威胁的安全保护措施也需要更高的速度和精确度。对此,目前一种名为早期报警系统的新解决方案正浮出水面。这一系统在安全威胁真正对用户信息系统的正常运行产生影响之前就能做好准备。
事前保护
当攻击在全球范围内发生时,早期报警系统对其进行监测,然后将已迫近的威胁通知相应机构,并提供应对措施,以防止攻击真正影响到机构的正常运行。早期报警系统对企业和组织带来的益处是明显的。它使企业和组织能够按照优先级别排列其安全资源,以满足其最关键的需求,降低未来灾难事件发生的可能性,减少攻击造成的损失,去除灾难恢复成本,在近期和远期保护关键业务资产。
早期报警系统也可在企业内部的防火墙和入侵检测系统之外提供辅助性保护。防火墙对企业网络上的各种活动进行过滤,入侵检测系统则负责监测企业网络上的各种活动。这两个工具都能生成非常有价值的、各个网络所特有的活动日志。早期报警系统收集的是与它们相同的信息,但却是从位于全球范围内的成千上万个防火墙和入侵检测系统中收集来的、精确的、全球性的数据,因而能够提供广泛得多、客观得多、也完整得多的关于风险和脆弱性的信息。
我们可以通过分析最近的一次大规模病毒爆发事件来说明早期报警系统的价值:2003年7月16日,Microsoft公司宣布其 Windows远程程序调用协议DCOM存在脆弱性,早期报警系统提供的最初警报向Windows 2000/XP/Server等操作系统的广大用户通知了这一新的脆弱性,以及由Microsoft提供的相关补丁。然后系统又继续监测全球的攻击性行为,并随着行为升级继续发布相应警报。随着8月11日Worm Blaster蠕虫病毒的爆发,许多用户系统的脆弱性最终到达高峰。从安全漏洞报告到蠕虫发作的期间内,利用这一漏洞的各种新工具不断被开发和公布,威胁每天都在增加,个人攻击行为数量也在不断上升。而早期报警系统提供的报告和监测功能,在其中起到了重要作用,因为许多得到这一警报的Windows用户由于及时安装了补丁程序而幸免于难。
技术与专家的合作
自动报警是早期报警系统的主要组成部分。来自全球的各个系统不断生成各种数据,早期报警系统对这些数据进行自动收集、建立相互关联和进行统计分析,并从中鉴别出异常。除了从全球的视点研究这些数据,系统还能重点考察针对某一目标区域或行业的事件,收集相关信息。有了这些信息,就能帮助目标区域或行业更好地准备和防范可能的攻击,同时降低现有的威胁。
一旦早期报警系统自动生成了一个安全报警,安全专家就可以开始对威胁进行分析。由于经过长期积累,对分布广泛的安全问题拥有了许多相关资料,安全专家的这种分析不但能提供详尽的关于这一威胁的报告,同时也能对用户如何采取措施保护信息系统提供有益的建议。分析的结果可以通过电子邮件、电话、传真或SMS文本消息的形式通知相关组织和机构,以保证及时采取行动。
抢先于威胁
早期报警系统能够使诸如Slammer之类的传播迅速的病毒所带来的风险降至最低。如果有了早期报警系统,当蠕虫病毒开始发作后,早期报警系统感应器立即启动。对感应器生成的数据进行自动分析的结果,将该威胁确定为全球性的,同时迅速通知客户,并建议客户关闭目标端口上的业务。通过进一步的分析,得知该威胁是一个蠕虫,其所针对的脆弱性也得以确定,从而发出相应警报;同时经调查证实针对这一安全威胁的补丁程序业已存在,随后便发出通报。
#
# by:∮明天去要饭
# yaofan.me
#
+——————————————————–+
+ 样本个数: x 个 +
+ 提交日期: 200X-XX-XX +
+ 样本提交: XXX +
+——————————————————–+
1. 目录
+ 文件夹
├ xxx1.exe <—– xxx1的说明
├ xxx2.exe <—– xxx2的说明
2. 详细内容
+——————————————————–+
+ 样本编号: 2.1 +
+ 样本名称: xxx.exe +
+ 样本大小: xxx 字节 +
+ 样本MD5 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx +
+——————————————————–+
1. 进程
创建(隐藏)进程:
%SYSTEMROOT%system32xxx.exe user
2. 文件行为
释放如下文件:
%SYSTEMROOT%system32xxxadd1.exe
%SYSTEMROOT%system32xxxadd2.exe
删除如下文件:
%SYSTEMROOT%system32xxxdel1.exe
%SYSTEMROOT%system32xxxdel2.exe
感染如下文件:
%SYSTEMROOT%system32xxxappend1.exe
%SYSTEMROOT%system32xxxappend2.exe
3. 网络行为
3.1 解析域名
www.xxx.com —–>xxx.xxx.xxx.xxx
3.2 数据交互
访问如下链接:
www.xxx.com/xxx.exe
4. 启动方式4.1 系统服务
显示名称: xxx
服 务 名: xxx
服务描述: xxx
文件路径: %SYSTEMROOT%system32xxx.exe
启动类型: 自动
4.2 注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下添加如下项/键:
项/键名: xxx
路径: %SYSTEMROOT%system32xxxadd1.exe
5. 自我保护
5.1 注入到xxx进程
5.2 自动关闭xxx杀毒软件或防火墙
6. 总结
该样本是/不是恶意软件.
危害性:高
病毒运行的过程:
1、首先将自己要用到的字符串解码,
2、启动一个线程不停的查询内存中的进程、检查是否有一些杀毒软件存在(如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
3、接着病毒启动另一个线程,用来创建一个名为WQK.EXE的文件运行、拷贝到的目录。然后将自身复制到的目录。
4、然后修改注册表,使自己的每次系统启动都自动运行。
5、将自己注册为系统的服务进程。
6、启动一个线程用于发送邮件,病毒再次利用Nimda病毒利用的Iframe. ExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行。病毒会随机选取以下语句作为邮件主题:
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don’t Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don’t you reply to me?
How about have dinner with me together?
Never kiss a stranger
邮件体为空,但编码中有一段注释:
I’m sorry to do so,but it’s helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don’t call my names,I have no hostility.
Can you help me?
基于该病毒的这个信息,金山毒霸命名为wantjob病毒,全称为:Worm.wantjob.57345,
7、启动感染网上邻居的线程。该线程发现可写的共享目录时,会随机生成一个文件名,并将病毒自身进行加密,用该文件名将病毒复制过去。然后Sleep8小时再感染一次。文件的长度会有60168、60169等的变化。文件名的生成规则:
第一部分随机生成的名字为字母或数字,最后补一个“。”,
第二部分在Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg中选择一个。
第三部分补上exe作为扩展名。
8、启动26个线程,遍历硬盘、网络盘一遍找满足扩展名需求的文件,这个文件名将用于邮件发送
1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)
2. 部分图标变得模糊
3. 进程里面出现例如 Logo_1.exe , 0Sy.exe等莫名其妙的东西
4. C盘隐藏文件出现 _desktop.ini(隐藏文件)
5. 磁盘的autorun被修改,以至于双击磁盘盘符时提示出错
随即用瑞星2006的杀毒软件进行杀毒,但是无法彻底清除,这是感染了“威金”病毒。
清除方法:
1 结束以下进程: logo1_.exe rundl132.exe(注意第六个为数字1而不是L) explorer.exe(该病毒会把vDll.dll加载到该系统进程中去,最好是用进程管理工具直接结束掉这个DLL)另外有类似OS.exe的进程也一并结束掉~~!
2.到windows目录删除“logo1_.exe”、“rundl132.exe”、“vdll.dll”文件!(注意这些进程都是隐藏的,需要把系统设置为“显示隐藏文件”,设置的方法:打开“我的电脑”; 依次打开菜单“工具/文件夹选项”;然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件
和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;最后点击“确定”,
)
3 .运行 gpedit.msc 打开组策略,依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序,点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件
4 找到并删除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件,其中vDll.dll可能在其他目录中,%Windir%默认为C:Windows或者C:Winnt。打开注册表,索引到HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW,删除auto键值;
打开注册表,索引到HKEY_CURRENT_USERSoftwareMicrosoftWindows
NTCurrentVersionWIndows,删除load键值;打开%system%driversetc下hosts文件,删除“127.0.0.1 localhost”一行后所有内容;
.在windows目录下新建文件:“logo1_.exe”、“rundl132.exe”、“vdll.dll”并把属性设为“只读”,这样病毒也就无法运行了
现在你的电脑基本上说可以对该病毒免疫了,既使中了该病毒,它也发作不了啦!最后这一点不怎么好办
关键词:计算机网络安全,病毒防范,病毒解决方案
随着宽带业务的迅猛发展以及社会对网络的依赖, 来自互联网的网络安全问题日益突显。不管是网络运营商, 还是用户或企事业单位, 都会面临巨大的挑战。网络安全需要额外投资, 因为一些重点的系统可能缺乏必要的安全保护, 因此网络安全系统也会面临一些威胁。目前, 计算机网络安全已引起世界各国的广泛关注, 但是在怎样解决病毒的问题上还有待提高。深入防范计算机病毒越来越受到高度重视。计算机病毒防范工作, 应是建立在建设病毒防范体系的基础上的。
1 计算机病毒
1.1 什么是计算机病毒
计算机病毒是一个程序, 一段可执行码, 破坏计算机的正常运行, 使之无法正常使用甚至使整个操作系统或者硬盘损坏。就像生物病毒一样, 计算机病毒有独特的复制能力, 可以很快地蔓延, 常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制和传送时, 它们就随之一起蔓延开来。病毒程序不是独立存在的, 它隐蔽在其它可执行的程序之中, 既有破坏性又有传染性和潜伏性。轻则影响机器运行速度, 重则使机器处于瘫痪, 会给用户带来不可估量的损失。
1.2 计算机病毒的特性
计算机病毒具有如下特性:
隐蔽性指病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现;
寄生性计算机病毒通常是依附于其它文件而存在的;
传染性指计算机病毒在一定条件下可以自我复制, 能对其它文件或系统进行一系列非法操作, 并使之成为一个新的传染源。
触发性指病毒的发作一般都需要一个激发条件, 可以是日期、时间、特定程序的运行或程序的运行次数等;
破坏性指病毒在触发条件满足时, 立即对计算机系统的文件、资源等运行进行干扰破坏;
不可预见性指病毒相对于防毒软件永远是超前的, 理论上讲, 没有任何杀毒软件能将所有的病毒杀除。
2 几种常见的计算机病毒
2.1“QQ尾巴”
“QQ尾巴”俗称“QQ木马”, 属于特洛伊木马, 此病毒表现为随机发送一些消息。该病毒会偷偷藏在用户的系统中, 发作时会寻找QQ窗口, 给在线上的QQ好友发送诸如“快去这看看, 里面有蛮好的东西”之类的假消息, 诱惑用户点击一个网站, 如果有人信以为真点击该链接的话, 就会被病毒感染, 然后成为毒源, 继续传播。
2.2“蠕虫”病毒
“蠕虫”病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播, 传播途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备进行传播。比如去年以来危害极大的“熊猫烧香”病毒就是“蠕虫”病毒的一种。“蠕虫”病毒主要利用系统漏洞进行传播。它通过网络、电子邮件和其他的传播方式, 像生物蠕虫一样将病毒从一台计算机传染到另一台计算机。因为“蠕虫”病毒使用多种方式进行传播, 所以“蠕虫”病毒的传播速度是非常大的。
3 如何防范计算机病毒
3.1 物理层的防范
严把物理硬件安全关。采用国家的机密信息系统所用设备和系列产品;对引进的计算机系统和软件要在进行安全性检查后才能启用, 以预防和限制计算机病毒伺机入侵。
3.2 系统层的防范
3.2.1 操作系统本身安全防范。
系统方面服务器端系统采用Windows Server2003 Enterprise Edition, 工作站系统采用Windows XP Professional的正版操作系统。由于Windows操作系统的安全问题越来越受到大家的关注, 每隔一段时间, 微软就会发布修复系统漏洞的补丁, 在网络中架设微软提供的软件升级服务器 (Microsoft Windows Server Update Services) , 使客户机定期自动执行升级操作。随着技术的发展, 各种黑客和木马工具层出不穷, 密码很容易被窃取。通过Windows的域管理和域策略的制定, 实现域用户的智能卡登录功能很好地解决了这个问题。可以使用CA认证系统通过与Windows系统的无缝链接, 利用CA系统的硬件密钥, 成功解决上述问题。
通过Windows的域管理的具体设置实现目录和文件权限的访问控制。
3.2.2 操作系统的安全配置存在病毒隐患。
版本的选择Windows XP有各种语言的版本, 可以选择英文版或简体中文版, 在语言不成为障碍的情况下, 使用英文版。组件的定制Win2000在默认情况下会安装一些常用的组件, 但是正是这个默认安装是极度危险的, 应该确切地知道需要哪些服务, 而且仅仅安装确实需要的服务, 根据安全原则:最少的服务+最小的权限=最大的安全。
端口配置端口是计算机和外部网络相连的逻辑接口, 也是计算机的第一道屏障, 端口配置正确与否直接影响到主机的安全, 仅开启需要使用的端口会防御利用这些端口进行攻击的病毒。
3.3 网络层的防范
网络层的防范问题主要体现在网络信息的安全性。在网络核心交换机上设置访问控制列表功能ACL (Access Control List) , 实现根据访问者的身份、网络地址等参数来确定他所相应的访问权限和数据访问量的实时检测, 根据访问数据量的变化来确定对应主机的系统性能。
3.4 应用层的防范
应用层的防范主要考虑所采用的应用软件和数据的防范。
3.4.1 防火墙的应用。
防火墙系统既用于内部网络与Internet之间的隔离, 也用于内部网络不同网段的隔离。通过对防火墙的屏蔽设置, 实现外部对内部网络的访问控制及其它安全策略, 从而降低内部网络主机的被攻击风险, 保护内部网络主机安全。
3.4.2 病毒防护和内容过滤。
可以采用赛门铁克 (Symantec) 、瑞星、金山毒霸防病毒解决方案进行病毒防护和内容过滤。通过防病毒产品的远程安装、集中管理、统一防病毒策略对计算机进行病毒防范。
3.4.3 监控与审计系统。
通过一套专门的计算机监控与审计系统对计算机控制引擎、安全策略、审计日志、系统登录和网络拓扑进行集中的统一管理, 尽早地发现可能出现的病毒防范方面的问题, 实现锁定计算机的各种硬件设备, 如USB端口、打印机端口、光驱等输入输出设备, 杜绝外来设备带来的病毒传播。
3.5 管理层的防范
管理层的防范就是计算机病毒的防范制度的建立, 计算机病毒的防范制度是防范体系中每个主体都必须执行的行为规范, 必须按照防范体系对防范制度的要求, 建立符合自身特点的防范制度, 严格的防范管理制度、明确的部门防范职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的病毒防范漏洞。
4 计算机病毒防范系统
计算机病毒防范不仅仅是一个产品、一个策略或一个制度, 它是一个汇集了硬件、软件、网络、人以及它们之间相互关系和接口的综合系统。计算机病毒防范体系的建设是一个社会性工作, 要全员参与, 充分利用所能利用的资源, 形成广泛的、全员的计算机病毒防范体系。通过对计算机病毒防范的五个层面进行分析, 我们建立一个计算机病毒防范系统, 提出防病毒的安全解决方案, 应用计算机病毒防范技术与产品, 建立合理的反应机制, 实现一个可实施、可控制管理、全面的动态计算机病毒防范体系。从空间地域上, 对网络上各个设备设立监测系统, 实时关注检测地点的状况, 保证对从桌面机到服务器各关键系统的安全状态进行控制, 同时对企业计算机系统正常运行无不良影响。从时间上, 通过计算机病毒防范体系可以掌握最近一个时段的病毒活动状况的分析数据, 更为重要的是支持实时方面更准确的分析和判断, 建立应对突发事件的策略和解决方案。这体现在由单系统、单层面走向系统化的日志结构;从一般的单纯记录日志走向智能化日志和不可更改的日志;应用数据挖掘技术, 从对日志的简单分析走向战略性的分析。这样, 日志审计数据既可为用户提供战略性的指导和战术性的解决办法, 又可为不断完善的计算机病毒防范体系提供可信证据。
关键词 计算机技术 病毒 防范 杀毒
进入二十一世纪,计算机技术和网络技术飞速发展,计算机已成为人类办公和生活必不可少的工具。但随着计算机技术的发展,人类在领略计算机工作便捷的同时也在为计算机病毒的侵犯而苦恼着。什么是计算机病毒呢?计算机病毒是一种人为制作的,通过非授权入侵而隐藏在可执行程序或数据文件中的特殊计算机程序。它占用系统空间,降低计算机运行速度,甚至破坏计算机系统的程序和数据,造成极大损失。
及早发现计算机病毒是减少病毒传染和危害的最好方法。如何判断计算机是否中了病毒呢?可以根据下列异常表现,初步判断计算机是否感染病毒:
(1)计算机无缘无故死机。
(2)正常关机后,无法正常启动。
(3)系统运行速度明显变慢。
(4)系统的时间、日期发生变化。
(5)计算机打开网页后自动链接到其它网页。
(6)计算机磁盘空间迅速减小。
以上症状只是计算机感染病毒后可能出现的情况,并不表示这个情况一定是病毒,但是如果计算机同时出现了以上多种症状,那么计算机感染病毒的可能性就非常大。
那么对计算机病毒如何防范呢?我想从以下几个方面来防范,基本可以杜绝病毒对电脑的入侵:
1.一般不要打开来历不明邮件的附件。对可疑的邮件附件要自觉不予打开。由于Windows允许用户在文件命名时使用多个后缀,所以当你看到有些文件你认识时也可能是多个扩展名,而许多电子邮件程序只显示第一个后缀。
2.安装杀毒软件,并及时更新病毒库,定期杀毒。一旦发现计算机运行异常,就立即查杀病毒,不要等病毒发作,造成不必要的损失。
3.使用可移动存储设备时,一定要先杀毒再打开,以防把病毒带进你的系统。
4.软件不要到不可靠的网站上下载。当然,什么网站可靠,这个很难说,一般知名的网站较为可靠,比如天空软件,华军软件等。不管你在哪个网站下载,一定要先查杀后再使用。
5.不要轻易接收陌生人传给你的文件。比如QQ等聊天软件上,有人给你发的文件,有可能就是木马程序或是嵌着木马的文件。
6.上网浏览时,不要随便点击非法或陌生的网站,以免遭到病毒侵害。
7.利用Windows Update功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。
8.定期做好重要资料的备份,以免造成重大损失。
计算机用户只要注意以上几点操作,病毒对你的电脑几乎是束手无策。计算机病毒主要靠传播途径来传播,那么我们的目标就是切断这些途径,让病毒无法传播。只要对计算机病毒有一个全面认识,然后做好防御工作,那么我们的计算机系统就会是一个较安全的环境,我们利用计算机工作会更有效率。当然,一旦发现你的计算机系统异常,不必害怕,要立即更新杀毒软件,全盘查杀,及时清除病毒,以绝后患。
通常情况下,用户反馈的关于瑞星杀毒软件网络版“无法处理”某病毒的情况可以分为以下三种,具体如图1所示。
图1
其中,用户反馈的瑞星不能清除某病毒,最常见的情况是瑞星发现了某病毒并对其进行了清除/删除,但是重新启动计算机后再次查杀,仍然会报病毒。目前比较流行的MS08-067病毒就属于此类,此类病毒多通过系统漏洞、局域网共享来传播,若要彻底处理网内此病毒,需要一些方法措施,比方说修复系统高危漏洞、禁用局域网共享(包括默认共享)、对共享服务器的共享目录进行访问限制、针对不同用户增加权限加以过滤、不要以一些常见的弱口令作为共享密码/登录密码/域账号密码等。此外,访问的网页、使用的U盘、下载的软件、没有彻底查杀的压缩包中的病毒都是杀完后重新感染的来源,所以一定要保证瑞星所有监控处于开启状态,可有效地防止病毒再次感染。
另外一种比较常见的情况是瑞星能够扫描到某病毒,但是无法彻底清除、删除染毒文件,比较常见的有以下四种原因。
一、染毒文件位于系统还原路径、IE缓存文件夹下
这样的情况会造成由于windows自身的机制而无法彻底清除病毒,不过这类病毒可以通过一些简单的方式直接处理干净。比方说那些位于系统还原路径下的病毒,可以通过关闭系统还原达到彻底清除病毒的目的。下面以windows7为例,介绍如何关闭系统还原。
1.右键点击“计算机”,点击“属性”。(图2)
图2
2.左上方点击“系统保护”。(图3)
图3
3.选中需要关闭系统还原的驱动器,点击“配置”。(图4)
图4
4.选择“关闭系统保护”。(图5)
图5
关闭系统还原后,原先位于系统还原路径下的病毒即可彻底清除。
二、Window文件保护导致的病毒总杀总有用户系统存在异常现象,导致文件保护功能异常,虽然可以清除病毒但是windows文件保护机制会将备份的染毒文件替换已经恢复正常的文件。
图6
对于这种情况,可以通过使用瑞星安全助手修复异常的注册表值来处理。
三、正常模式下,清除失败或者删除染毒文件失败造成这种结果的情况也有很多种:
第一种情况就是位于硬盘上的引导性病毒,这种病毒系统启动后就驻留内存,正常情况下无法彻底清除,可以选择通过瑞星引导杀毒来处理此类病毒。下面介绍如何制作linux引导杀毒盘和如何进行linux引导杀毒。
A.如何制作LINUX引导杀毒盘
瑞星LINUX引导光盘镜像的下载地址:rsdownload.rising.com.cn/for_down/ravlinux//linux.iso
在点击下载地址下载引导杀毒光盘映像后,将其刻录到光盘。
如果没有刻录机,并且存在安装瑞星个人版杀毒软件/全功能软件的客户端,还可以使用一个更简便的方法——使用U盘制作LINUX引导毒。
制作方法:将一个空U盘插入到电脑,打开个人版瑞星杀毒软件/全功能软件,选择瑞星工具-linux引导盘制作工具,按照提示进行操作即可。
B.如何进行LINUX引导杀毒
1.首先要设置计算机为光盘启动或U盘启动。(具体设置方法参考计算机主版说明书或咨询硬件厂商客服)
2.将制作好的光盘放入光驱(U盘需在开机或重启前先连接到电脑),启动后可以看到如下的提示。
3.选择语言,简体中文,点击确定。(图7)
图7
4.杀毒软件启动后,选择设置。(图8)
图8
5.选择发现病毒时进行自动清除。选择清除失败时进行询问后处理。(图9)
图9
6.点击杀毒,便开始对计算机进行全盘查杀。杀毒结束后点击退出,然后取出光盘或拔出U盘,重启计算机。
此外如果染毒程序正在运行中,受到了系统保护,这种情况肯定是无法直接处理的,对于非系统程序,可以尝试从任务管理器中结束此进程后再删除,如果无法通过任务管理器删除,则可能此进程为双进程保护或者病毒在设计上就屏蔽了此操作等原因,对于这种情况,建议进入安全模式下全盘杀毒,
对于一些感染型病毒,尤其是被感染的系统文件,甚至包括瑞星的自身文件的病毒,一旦感染这种病毒,首先尝试进入安全模式全盘杀毒,看是否可以正常杀毒并处理,如果不能彻底清除,建议使用瑞星PE版杀毒以达到彻底处理的目的。下面介绍下瑞星PE杀毒的详细步骤。
1.该版本必须在不解压缩的状态下通过刻录光盘或其他方式拷贝到由于病毒原因无法安装瑞星杀毒软件计算机中任意磁盘目录下。(如果解压缩拷贝可能会造成文件被病毒感染无法正常运行的情况)
2.通过开机加载windows PE系统的方式,找到之前拷贝的PE版瑞星2011杀毒压缩文件并正常解压缩后运行执行杀毒.exe进程即可,如图10。
图10
等待查杀清除病毒结束后,重启计算机即可。
使用PE杀毒注意事项:
1.开机引导的windows PE系统针对某些使用磁盘阵列的服务器,可能会因为没有磁盘阵列驱动导致无法找到正常系统所使用的磁盘,故请更换查找适合此类型磁盘的相关windows PE系统版本。
2.凡因为感染exe类型文件病毒的计算机在已安装瑞星杀毒软件的情况下,如果可以正常进入安全模式的话,请在安全模式下启动瑞星查杀,不建议直接使用此种方式处理。
3.由于被感染exe类型文件有可能会存在文件结构被病毒破坏严重的情况,故通过PE版瑞星杀毒重启后可能会导致部分文件不能正常使用,可以重装相关软件或拷贝相应的exe执行文件均可解决,但如果系统感染病毒严重,会存在PE杀毒后无法正常进入系统的情况,故请在杀毒前备份相关重要数据,以防万一。
另外一种清除病毒失败或删除染毒文件失败的情况就是病毒随系统启动,有驱动保护,这也是病毒最有效的保护方法,一般是在drivers目录下增加一个或多个.sys文件,本质上是在HKLMSYSTEMCurrentControlSetServices下建一个相关的键值,如CNNIC建立的就是HKLMSYSTEMCurrentControlSetServicescdnprot,并且将启动级别做得很高,在安全模式下也会启动,这个底层的驱动会过滤所有的文件以及注册表操作,如果发现是对自己的文件/注册表操作,就返回一个true,如果发觉文件被删除,就通过备份或网络下载来恢复,普通用户根本没办法删除相关文件,还有一些rootkit类病毒,很多时候就是安全模式也无法彻底清除,对于这种情况,可以使用瑞星PE杀毒已达到彻底处理病毒的目的。
这几类瑞星会清除失败的病毒,大部分是由于用户没有实时开启瑞星监控导致病毒进入系统,或者安装瑞星前已经感染了病毒。正常情况下,开启瑞星所有监控,病毒入侵计算机前就可以被处理掉,无法感染客户端,也就不会出现在正常情况下瑞星清除病毒或删除染毒文件失败的情况,所以保证瑞星监控实时开启是非常有必要的。
四、瑞星对于病毒的处理方式为用户忽略
此现象主要有两种情况:
A.用户选择的病毒处理方式不正确。管理员可以通过定位对病毒处理方式为用户忽略的客户端,然后查看客户端的防毒策略设置来核实客户端对病毒的处理方式。(图11)
图11
查看客户端对实时监控、嵌入式杀毒和手动查杀发现病毒、杀毒失败和备份失败的处理方式,确认一下客户端对发现病毒的处理方式是不是为不处理,如果是不处理,建议修改成默认策略,以方便发现病毒时清除病毒。(图12)
图12
B.病毒隔离区空间不足。如果瑞星病毒隔离区已满,瑞星对病毒的处理方式会是用户忽略。下面介绍一下如何确认瑞星隔离区空间是否已满。
1.启动病毒隔离系统(图13)
方法一:在瑞星网络版客户端软件主程序界面中,选择【工具】/【病毒隔离区】/【运行】。
方法二:在Windows画面中,选择【开始】/【程序】/【瑞星杀毒软件网络版】/【病毒隔离区】。
图13
2.选择设置空间,查看隔离区剩余大小。(图14)
图14
为避免由于备份文件过多而占用大量磁盘空间,用户可以设置病毒隔离系统占用存储空间的大小。当隔离区空间已满时,用户可以选择【空间自动增长】或使用【替换最老的文件】处理。方法是:启动【病毒隔离区】,选择【工具】/【设置空间】,在【设置】对话框中选择后,再按【确认】保存设置。
另外,瑞星无法处理某些病毒,还存在一种情况是瑞星没有发现病毒,而用户怀疑感染了病毒。有时会有用户反馈说瑞星为什么不能处理某病毒,但通过查看病毒库,发现某病毒不是瑞星所报病毒,后确认用户提供的病毒名是别的杀软查到的。对于这种情况,建议将瑞星升级到最新版本后杀毒,如果瑞星已经是最新版本后仍然查杀不到此病毒,可以上报病毒样本供我们分析,以确认相关文件是不是病毒,如果确定为病毒,瑞星会在下一次版本更新后查杀此病毒。还有用户因为计算机的一些异常情况怀疑感染病毒,对于这种情况,我们会通过发送相关工具提取计算机相关信息以判断计算机是否感染病毒,如果经分析确实感染病毒,我们会通过提取相关文件以便下次瑞星更新后可以查杀此病毒;如果经过分析,用户计算机没有感染病毒,不过仍然有异常现象,则可能是网内其他机器影响本机导致,比方说网内有其他机器感染了ARP病毒,会导致没有感染病毒的机器出现无法访问网络等一些异常情况。
【病毒防范管理制度】推荐阅读:
防病毒管理制度06-16
初中生物病毒06-18
诺如病毒暴发疫情06-14
万众一心抗击新型冠状病毒作文06-24
抗击新型冠状病毒肺炎疫情心得体会07-04
治安防范管理规定06-10
县防控新型冠状病毒感染的肺炎疫情广播讲话07-03
新型冠状病毒传播途径及预防措施是什么06-19
公司企业安防范管理规章制度06-27
路桥工程经济管理风险防范05-24
