Vi har alle været der - du får en advarsel fra din virus scanner advarsel om, at en bestemt fil er inficeret. Nogle gange vises advarslen igen, selv efter at du har fortalt antivirusscanneren for at fjerne infektionen. Eller måske har du bare grund til at tro, at virusmeldingen kan være en falsk positiv. Her er seks ting, du vil overveje at bestemme, hvordan man håndterer en mistænkelig eller tvivlsom virusvarsel.
Placering, Placering, Placering
Som med fast ejendom kan placeringen af det, der bliver registreret, have et kritisk bærende. Hvis du får gentagne advarsler om den samme infektion, skyldes det muligvis ikke-aktiv malware, der er fanget i systemgendannelsesmapper eller en rest i en anden placering, der udløser advarslen.
- Sådan fjernes vira fra systemgendannelse
- Slet Midlertidige internetfiler og cookies
- Ryd internethistorikmappen
Oprindelse: Fra hvorfra den kommer
Ligesom med placering kan filens oprindelse betyde alt. Højrisikoprindelse omfatter vedhæftede filer i e-mail, filer hentet fra BitTorrent eller et andet filhærdningsnetværk og uventede downloads som følge af et link i e-mail eller instant messaging. Undtagelser ville være filer, der passerer den formålstest, der er beskrevet nedenfor.
Formål: Vil du have det, behøver det, forventer det?
Formålet test koger ned til en hensigtserklæring. Er dette en fil, du forventede og har brug for? Enhver fil, der downloades uventet, bør betragtes som høj risiko og sandsynligvis ondsindet. Hvis det ikke blev downloadet uventet, men du ikke har brug for filen, kan du mildne din risiko ved blot at slette den. At være selektiv om, hvad du tillader at køre på dit system, er en nem måde at reducere risikoen for virusinfektion (og undgå at dæmpe systemets ydeevne med unødvendige apps). Men hvis filen blev bevidst downloadet, og du har brug for den endnu, bliver den stadig markeret af dit antivirus, så er det bestået Purpose testen, og det er tid til en anden udtalelse.
04 af 06SOS: Second Opinion Scan
Hvis filen passerer trinene Placering, Oprindelse og Formål, men antivirusscanneren stadig siger, at den er inficeret, er det tid til at uploade den til en online-scanner til en anden udtalelse. Du kan sende filen til Virustotal for at få den scannet af over 30 forskellige malware scannere. Hvis rapporten angiver, at flere af disse scannere mener, at filen er inficeret, skal du tage deres ord for det. Hvis kun en eller meget få af scannerne rapporterer en infektion i filen, så er to ting mulige: det er virkelig en falsk positiv eller det er malware, der er så nyt, at det endnu ikke er hentet af flertallet af antivirusscannere.
05 af 06Søgning efter MD5
En fil kan nævnes noget, men en MD5 checksum er sjældent løgne. En MD5 er en algoritme, der genererer en formodentlig unik kryptografisk hash for filer. Hvis du har brugt Virustotal til din anden opinionsscanning, vil du i bunden af denne rapport se et afsnit med titlen "Yderligere oplysninger". Lige under det er MD5 for den fil, der blev indsendt. Du kan også få MD5 til enhver fil ved hjælp af et værktøj som f.eks. Den gratis Chaos MD5 fra Elgorithms. Uanset hvad du vælger at opnå MD5, skal du kopiere og indsætte MD5 for filen i din yndlings søgemaskine og se, hvilke resultater der vises.
06 af 06Få ekspertanalyse
Hvis du har fulgt alle ovenstående trin og stadig ikke har tilstrækkelige oplysninger til at hjælpe dig med at afgøre, om virusalarmen er ægte eller en falsk positiv, kan du indsende filen (afhængigt af filstørrelsen) til en online adfærdsanalysator. Bemærk, at resultaterne fra disse adfærdsanalysatorer kan kræve et højere niveau af ekspertise til at fortolke. Men hvis du har fået dette langt i trappen, er chancerne for, at du ikke har problemer med at dechiffrere resultaterne!
- PC Tools ThreatExpert
- Sunbelt Software CWSandbox
