1). 文件名判断
l 客户机大量异常进程(一般是随机数字一类),且
CPU使用很高,可判断为疑似中毒。
l 通过搜索引擎,对疑似病毒文件进行搜索确认,结果中20%以上负面影响,可视为非安全程序,要针对性测试。
l 搜索疑似文件,确认文件的修改时间,如果为当前,表示可能是通过网络传播方式工作,或者是开机下载病毒。同时断网重启机器后,无法搜索文件即可判断为还原未穿透。
l 疑似中毒机器,在断网情况下,依然出现异常进程使用,可判断还原被疑似穿透。
2). 杀毒软件测试
l 通过4种国内外杀毒软件(瑞星、360、NOD32、卡巴斯基)对系统查毒,确认疑似文件是否报毒,可将报毒文件先添加进程拦截(病毒库)。
l 将疑似文件提交到WEB在线检测(www.virscan.org),20%以上杀毒软件报毒,可将报毒文件先添加进程拦截(病毒库)。
3). MD5测试
l 通过在线程序监控网站查询(file.ikaka.com),结果异常程序,添加进程拦截(病毒库)。
l 将异常文件与GHO镜像中做MD5比较,结果不一致或GHO镜像中没有,添加进程拦截(病毒库)。并且可判断为被病毒穿透写入。
4). 结论
l 病毒程序,可直接添加到进程拦截中。
l 病毒行为中包含网络传播、驱动级工作方式、盗取帐号等类型,添加病毒库后,将程序打包与测试结果提交到官网论坛。
l 测试结果如果确认是被穿透,请打包客户机临时文件夹和IE历史记录(迅闪提供此功能,从安全中心中勾选设置)与测试结果提交到官网论坛。
5). 补充
l 对于确认是会穿透还原的病毒,有能力的可使用System Safety Monitor软件进行调试。