反病毒定义：

病毒类型 + 平台 + 病毒（家族）名 + 病毒变种名 + 其他信息

安全事件处理流程：

工作机制：病毒库 + 杀毒引擎

1. 扫毒模块：

• 扫描并检测含有恶意代码的为，对其识别。
• 对于被文件型病毒感染的可执行文件进行修复

• 组件

  • 扫描引擎-VSAPI & ATSE
  • 病毒码
  • 间谍软件病毒码
  • 网络病毒码

2. 损害清楚服务（DCS）：

• 对于正在允许/已经加载的病毒进行清除。
• 终止进程。
• 脱钩 DLL 文件。
• 删除文件。
• 恢复被病毒修改过的注册表内容，起到修复系统的作用。
• 可视为通用专杀工具。

• 组件。

  • 损害清楚引擎（DCE）- TSC.EXE
  • 损害清除。
  • 损害清除模板（DCT）- TSC.PTN
  • 间谍软件清除病毒码 - TMADCE.PTN

3. 反病毒常见问题：

1. 载体程序：

如 pe 开头正常文件内嵌恶意代码，防病毒程序将恶意代码程序等清楚，修复文件。

1. 恶意代码：

如 -o 的母体文件，则无法清除智能隔离

为什么会出现无法隔离/删除的病毒：

• 当病毒感染系统后：

  1. 病毒进程已经被系统加载。
  2. 病毒DLL文件已经嵌入到正在运行的系统进程中。
  3. Windows 自身的特性：对已经加载的文件无法进行改动操作，从而导致病毒扫描引擎对检测文件无法操作。
• 已经加载的病毒不包含在损害清除模板（DCT）中。

已知病毒处理流程：

• 在可能的情况下，拔除网线。
• 收集病毒日志。
• 确认病毒名称、路径和文件名。
• 搜索病毒知识库，查找病毒的解决方法。
• 根据方案，手动清理系统中的病毒。
• 若找不到方案或方案无效可收集样本与系统信息由厂商协助处理

未知/可疑病毒处理流程象：

• 在可能的情况下，拔除网线。
• 使用 ATTK 工具收集系统关键信息提交给亚信安全。
• 如有明显可以文件，压缩加密提交给反病毒厂商。
• 反病毒厂商反馈病毒解决方案。

其他事件：

1. 可执行文件恶意代码清除后，文件被破坏。

   • 提交感染前的文件和感染后的文件给厂商进行分析。

2. 宏病毒清除后打开异常或被隔离。

   • 搜集原始样本提交给厂商。

3. 网络异常，怀疑ARP攻击。

   • 通过抓包，将抓包信息提交给厂商。

手动处理建议：

1. 在安全模式下操作
2. 终止所有可疑进程和不必要的进程
3. 关闭系统还原
4. 显示所有隐藏文件余晓敏
5. 判断可疑文件

注：恶意程序容易植入系统目录下，并命名与系统默认文件名称非常相似的名称，以混淆用户的视听。
解决方法：可通过文件创建时间，后缀，内容等判断可疑程度。

常用工具：

1. ATTK（病毒查杀工具：Anti-Threat ToolKit 反病毒工具集，系统信息收集工具）
2. WireShark
3. Rootkit Buster （MBR 问题的收集工具）
4. Autoruns（显示自启动程序，允许禁用或删除）
5. Process Explorer（Windows 系统和应用程序监视）

病毒典型案例分析：

1. Worm_downad（飞客蠕虫）

1. 主要传播手段

1. 漏洞 MS08-067（复制自身特性传播）。攻击过程：病毒会随机生成 IP 地址，进行漏洞利用并发起攻击
2. 移动存储（利用播放功能自启动，并在共享传播自身副本进行扩大感染）

2. 显性特征

1. 阻止访问安全网站
2. 安全配置失效
3. 暴力猜解密码

解决方法：

1. 通过日志找到感染源
2. 优先在源头计算机安装补丁（建议所有计算机打算补丁以防传播病毒）
3. 修改域账号或计算机密码为强密码

注：移动存储传播手段：

1. 攻击成功后会下载病毒并进行修改注册表来使得安全工具和安全配置失效、修改 host 文件
2. 在内网查找网络服务器或域控，通过字典暴力破解拆解管理员密码，常导致服务器被锁

2. PE_SALITY

1. 主要传播手段：

1. 漏洞 ms10-046
2. 移动存储
3. 网络共享
4. 电子邮件

2. 主要特征：

• 终止安全相关软件和服务（安全软件和防火墙 ）
• 禁用防火墙、任务管理器、注册表、防火墙等
• 组织进入安全模式
• 共享目录及子文件夹存在LNK和TMP文件
• 存在恶意的 AUTORUN.INF

注 ：病毒自我保护特征：

1. 终止安全软件和防火墙
2. 将自己感染的程序添加到防火墙、白名单中防止网络通信被阻止
3. 进入管理器和注册表使得用户无法手动结束被感染的程序进程和注册表的项值，也无法进入安全模式
4. 创建病毒母体文件拷贝和自动执行该母体文件的 AUTORUN.INF 到所有驱动器中，当进入被感染的驱动器后会自动执行该病毒

3. 勒索家族：

• 两种类型：
• 传统勒索病毒
• 勒索病毒
• 主要特征：
• 文档被机密锁定
• 弹出勒索信息

传统勒索病毒：

• 主要传入手段：
• 社工邮件（订单、银行账单）
• 带有宏病毒的 Word/Excel 附件
• 特点：
• 非常依赖人机交互

勒索蠕虫

1. 主要传入手段：

   • 漏洞 MS17-010
   • Internet 传入

预防方法：

1. 增强安全意识
2. 防御（以OSCE为例）

3. 备份重要文档

   • 3-2-1规则：三个副本，两种不同格式保存，异地存储

4. 挖矿病毒

解决方法：

1. 使用ATTK 或者专杀工具

预防方法：

1. 增强员工安全意识
2. 定期更新安全防护软件的组件
3. 启用浏览器安全防护功能
4. 善用任务管理器 & 资源监视器