[发明专利]一种病毒处理方法、装置和系统

说明书

【技术领域】

本发明涉及计算机应用技术领域，特别涉及一种病毒处理方法、装置和系统。

【背景技术】

随着互联网的快速发展，基于病毒模式聚集网站流量，并通过流量广告变现的灰色产业利益链已经形成。每日新增的流氓软件已经数以百计，使用各种猥琐的技术，通过进程、注册表、文件等方式相互捆绑或守护，不断更新病毒体的行为特征，防止杀毒软件进行查杀。

目前互联网式病毒文件流行的方式是：通过云端控制指令在机器系统修改用户默认的浏览器主页以及搜索引擎，修改关键词搜索排名，劫持浏览器弹出广告，恶意篡改桌面快捷方式关联，安装用户不需要的浏览器插件恶意软件，窃取用户的隐私内容等。而传统的杀毒软件主要查杀文件的恶意行为，发现恶意行为时删除相应的文件。当遇到这类互联网式病毒文件时，单纯在机器系统的客户端进行行为分析和删除文件往往无法完全清除病毒体，机器系统安全性较差。

【发明内容】

有鉴于此，本发明提供了一种病毒处理方法、装置和系统，以便于提高机器系统的安全性。

具体技术方案如下：

本发明提供了一种病毒处理方法，该方法包括：

确定客户端扫描的病毒体行为所对应的病毒家族信息；

根据病毒家族信息与病毒清除指令之间的对应关系，将确定的病毒家族信息所对应的病毒清除指令下发给所述客户端，以供所述客户端执行所述病毒清除指令进行病毒体的清除。

根据本发明一优选实施方式，所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括：

接收所述客户端上报的扫描日志，所述扫描日志包含所述客户端扫描的病毒体行为信息；

将所述病毒体行为信息与云端的行为链脚本库进行匹配，确定恶意病毒体行为对应的病毒家族信息，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。

根据本发明一优选实施方式，所述确定客户端扫描的病毒体行为所对应的病毒家族信息包括：

接收所述客户端上报的鉴定结果；

从所述鉴定结果中获取病毒家族信息，所述病毒家族信息是所述客户端将扫描的病毒体行为信息与客户端本地的行为链脚本库进行匹配后确定的，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息。

根据本发明一优选实施方式，该方法还包括：

对客户端上报的扫描日志进行分析得到更新病毒体行为信息；

利用更新病毒体行为信息更新云端的行为链脚本库。

根据本发明一优选实施方式，如果将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息与从所述鉴定结果中获取的病毒家族信息不一致，则采用将扫描日志包含的病毒体行为信息与云端的行为链脚本库进行匹配确定出的病毒家族信息来确定下发的病毒清除指令，或者采用人为鉴定出的病毒家族信息来确定下发的病毒清除指令

根据本发明一优选实施方式，所述病毒体行为信息为对以下内容中的至少一种进行扫描后得到的行为信息：

进程、加载模块、驱动、服务、Rootkit、启动项、IE相关的项目、引导病毒、系统目录、桌面目录、开始菜单、常用软件、脚本、系统组件、登录部分、系统启动项等。

根据本发明一优选实施方式，所述病毒清除指令包括以下操作的指令：

锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。

本发明还提供了一种病毒处理方法，该方法包括：

扫描病毒体行为；

将扫描日志上报云端服务平台；和/或，利用本地的行为链脚本库，对所述病毒体行为进行鉴定，如果鉴定出恶意病毒体行为，则将恶意病毒体行为对应的病毒家族信息上报给云端服务平台，其中所述行为链脚本库包含病毒家族的恶意病毒体行为信息；

接收并执行所述云端服务平台下发的病毒清除指令。

根据本发明一优选实施方式，该方法还包括：如果鉴定出恶意病毒体行为，则清除恶意病毒体行为的关联内容。

根据本发明一优选实施方式，该方法还包括：

加载云端的行为链脚本库，利用云端的行为链脚本库更新所述本地的行为链脚本库。

根据本发明一优选实施方式，所述病毒清除指令包括以下操作的指令：

锁定默认主页、修改默认浏览器搜索主页、下载指定工具软件或清除恶意病毒体行为的关联内容。

本发明还提供了一种病毒处理装置，该装置包括：

病毒确定单元，用于确定客户端扫描的病毒体行为所对应的病毒家族信息；