Mindannyian ott voltunk - riasztást kap a víruskeresőtől, figyelmeztetve, hogy egy adott fájl fertőzött. Néha a figyelmeztetés újra megjelenik, miután elmondta a víruskeresőnek, hogy távolítsa el a fertőzést. Vagy talán csak oka van feltételezni, hogy a vírus riasztása hamis pozitív lehet. Itt van hat dolog, amit érdemes megfontolni, hogy meghatározzuk, hogyan kell kezelni egy gyanús vagy megkérdőjelezhető vírusjelzést.
Helyszín, helyszín, helyszín
Mint az ingatlanok esetében is, a felfedezés helyének kritikus hatása lehet. Ha ugyanaz a fertőzés ismétlődő figyelmeztetései miatt előfordulhat, hogy a rendszer nem működik olyan rosszindulatú programokkal, amelyek a rendszer-visszaállítási mappában vagy egy olyan helyen tartózkodnak, amely a figyelmeztető jelzést kiváltja.
- A vírusok eltávolítása a rendszervisszaállításból
- Az ideiglenes internetes fájlok és cookie-k törlése
- Törölje az Internettörténeti mappát
Eredet: ahonnan jön
A helyszínhez hasonlóan a fájl eredete mindent jelenthet. A nagy kockázattal járó eredetűek közé tartoznak az e-mail mellékletei, a BitTorrent vagy más fájlmegosztási hálózat által letöltött fájlok, valamint az e-mailben vagy az azonnali üzenetküldésben lévő linkből származó váratlan letöltések. Kivételt jelentenek azok a fájlok, amelyek az alábbiakban leírt cél-tesztet adják át.
Cél: Akarsz, szükséged van rá, várjam?
A Purpose teszt leáll a szándék tárgyára. Ez egy olyan fájl, amire számított és szüksége van? A váratlanul letöltött fájlokat nagy kockázatnak és valószínűleg rosszindulatúnak kell tekinteni. Ha nem töltött le váratlanul, de nincs szüksége a fájlra, egyszerűen törölheti a kockázatot. A szelektív megoldás a rendszeren való futtatáskor egyszerű módja annak, hogy csökkentsük a vírusfertőzés kockázatát (és elkerüljük a rendszerteljesítmény és a felesleges alkalmazások elkerülését). Ha azonban a fájlt szándékosan letöltötték, és mégis szüksége van rá, még mindig a víruskeresője jelzi, akkor elhalasztja a céltesztet, és ideje egy második véleményre.
04/06SOS: második vélemény vizsgálata
Ha a fájl elhalad a Hely, Eredet és cél lépéseken, de a víruskereső még mindig azt mondja, hogy fertőzött, ideje tölteni egy online lapolvasóhoz egy második véleményhez. A fájlt elküldheti a VirusTotal részére, hogy több mint 30 különböző malware szkennert szkenneljen. Ha a jelentés azt jelzi, hogy a szkennerek közül sokan úgy vélik, hogy a fájl megfertőződött, vegye fel a szavukat. Ha csak egy vagy nagyon kevés szkenner jelent fertőzést a fájlban, akkor két dolog lehetséges: tényleg hamis pozitív, vagy olyan rosszindulatú program, amely annyira új, hogy még nem veszi fel a víruskeresők többsége.
05/06MD5 keresés
A fájl neve bármi lehet, de az MD5 ellenőrzőösszeg ritkán fekszik. Az MD5 egy olyan algoritmus, amely valószínűleg egyedülálló kriptográfiai hashot generál a fájlok számára. Ha a 2. véleményvizsgálat során a VirusTotal-ot használta, a jelentés alján egy "További információk" című szakasz jelenik meg. Alig van ez az MD5 a benyújtott fájl számára. Az MD5-t bármilyen fájlhoz is beszerezheti olyan segédprogram használatával, mint például a szabad Chaos MD5 az Elgorithms-ból. Bármi is legyen az MD5 megszerzésének módja, másolja és illessze be az MD5 fájlt a kedvenc keresőmotorba, és nézze meg, hogy milyen eredmények jelennek meg.
06, 06Szerezzen szakértői elemzést
Ha a fenti lépéseket követte, és még mindig nem rendelkezik elegendő információval annak megállapításához, hogy a vírusjelzés valódi vagy hamis pozitív, akkor a fájlt (a fájl méretétől függően) egy online viselkedés-elemzővel elküldheti. Ne feledje, hogy ezeknek a viselkedési elemzőknek az eredményei magasabb szintű szakértelmet igényelhetnek az értelmezéshez. De ha eddig a lépcsőházban jársz, akkor valószínűleg nem lesz gondod az eredményeket megfejteni!
- PC eszközök ThreatExpert
- SunBelt szoftver CWSandbox
