Мы все были там - вы получаете предупреждение от своего антивирусного сканера, предупреждающее, что определенный файл заражен. Иногда предупреждение появляется снова после того, как вы сказали антивирусному сканеру удалить эту инфекцию. Или, может быть, у вас просто есть причина полагать, что вирусное предупреждение может быть ложным. Вот шесть вещей, которые вы хотите рассмотреть, чтобы определить, как обращаться с подозрительным или сомнительным вирусным предупреждением.
Расположение, местоположение, местоположение
Как и в случае с недвижимостью, местоположение обнаруженного объекта может иметь решающее значение. Если вы получаете повторяющиеся предупреждения о той же инфекции, это может быть связано с неактивными вредоносными программами, которые попадают в папки восстановления системы или остатки в другом месте, вызывающем предупреждение.
- Как удалить вирусы из системы восстановления
- Удаление временных файлов Интернета и файлов cookie
- Очистить папку истории Интернета
Происхождение: откуда он приходит
Как и в случае с местоположением, происхождение файла может означать все. Истоки высокого риска включают вложения в электронную почту, файлы, загруженные из BitTorrent или другой сети обмена файлами, и неожиданные загрузки, связанные с ссылкой в электронной почте или обмен мгновенными сообщениями. Исключениями будут файлы, которые проходят тест цели, описанный ниже.
Цель: вы хотите, нужно, ожидаете?
Тест Цель сводится к вопросу о намерениях. Это файл, который вы ожидали и нуждались? Любой файл, который загружается неожиданно, должен считаться высоким риском и, вероятно, злонамеренным. Если он не был загружен неожиданно, но вам не нужен файл, вы можете уменьшить свой риск, просто удалив его. Быть выборочным в отношении того, что вы разрешаете запускать в вашей системе, - это простой способ снизить риск заражения вирусом (и не увязывать производительность системы с ненужными приложениями). Однако, если файл был специально загружен, и вам это нужно, он все еще помечен вашим антивирусом, тогда он прошел тест Цель и пришло время для второго мнения.
04 из 06SOS: второе мнение
Если файл проходит шаги Location, Origination и Purpose, но антивирусный сканер все еще говорит, что он заражен, его время для загрузки его в онлайн-сканер для второго мнения. Вы можете отправить файл Virustotal, чтобы он сканировал более 30 различных сканеров вредоносных программ. Если в отчете указано, что некоторые из этих сканеров считают файл зараженным, возьмите за него свое слово. Если только один или очень немногие из сканеров сообщают о заражении в файле, то возможны две вещи: это действительно ложный позитив, или это вредоносное ПО, настолько новое, что оно еще не подхвачено большинством антивирусных сканеров.
05 из 06Поиск по MD5
Файл можно назвать чем угодно, но контрольная сумма MD5 редко лежит. MD5 - это алгоритм, который генерирует предположительно уникальный криптографический хеш для файлов. Если вы использовали Virustotal для вашего второго сканирования мнения, в нижней части этого отчета вы увидите раздел под названием «Дополнительная информация». Только под ним MD5 для файла, который был отправлен. Вы также можете получить MD5 для любого файла с помощью утилиты, такой как бесплатный Chaos MD5 из алгоритмов. Какими бы средствами вы ни выбрали MD5, скопируйте и вставьте MD5 для файла в свою любимую поисковую систему и посмотрите, какие результаты появятся.
06 из 06Получить экспертный анализ
Если вы выполнили все описанные выше шаги и не располагаете достаточной информацией, чтобы помочь вам определить, является ли вирусным оповещением подлинным или ложным, вы можете отправить файл (в зависимости от размера файла) в онлайн-анализатор поведения. Обратите внимание, что результаты, полученные этими анализаторами поведения, могут потребовать более глубокого опыта для интерпретации. Но если вы дошли до этих шагов, скорее всего, у вас не будет проблем с расшифровкой результатов!
- Инструменты для ПК ThreatExpert
- Программное обеспечение Sunbelt CWSandbox
