處理 PUA
潛在不受歡迎應用程式(PUA)是指設計上並非惡意,但可能不適合企業環境的程式。例如,它們可能在組織環境中帶來隱私、安全性或使用者體驗的風險。客戶可根據其業務需求,在其環境中允許 PUA 的運作。
為了應對潛在有害程序,我們會在檢測到它們後立即阻止它們,並自動清理它們。
您可以關閉 Mac 上的自動清理功能。如果執行了此動作並且我們偵測到 PUA,您會收到警示,詢問您是否要清除它。
警告
我們建議您不要關閉自動清理功能。
常見的 PUA 範例
| 類型 | 說明 |
|---|---|
| 廣告程式 | 顯示不必要的廣告。 |
| 積極的獲利軟體 | 優先考慮創收。 |
| 捆綁軟體 | 與其他應用程式捆綁在一起的軟體。 |
| 撥號器 | 建立與高價服務的連結。 |
| 下載 | 自動取得其他軟體。 |
| 遠程管理工具 | 允許第三方存取。 |
| 解除安裝工具 | 第三方移除工具。 |
有些潛在有害程式(PUA)具有合法用途,但也可能被重新用於惡意活動。網路掃描工具和滲透測試軟體屬於此類,它們為安全專業人員提供了重要的功能,但也可能被威脅行為者利用。
如果您認為 PUA 被錯誤標記,請參閱檢查 PUA 是否為誤判 。
如何自動清理 PUA
我們使用以下方法清理 PUA:
-
在執行 Windows 7 或更新版本的裝置上,Sophos Clean(我們保護代理程式的一個元件)會清理可攜式執行 (PE) 檔,如應用程式、庫和系統檔案。這是針對影響
.exe檔案的惡意軟體。它不會針對並清除以指令碼為基礎的惡意軟體。
您可以在 Sophos Central 中還原項目。如果我們發現出現了錯誤偵測,SophosLabs 也可以還原檔案。有關還原檔案的更多說明,請參見 如何調查和解決潛在的誤判或錯誤偵測。
-
我們的保護代理程式的反惡意軟體元件在 Mac 和 Linux 上執行所有清理,並在 Windows 電腦上執行所有非 PE 清理。
以此方式清理的應用程式不可使用自動或遠端還原。
在 Windows 上,您可以使用受影響電腦上的命令提示字元還原對偵測項目的存取權。
為何沒有清理
我們不能始終自動清理 PUA。
在某些情況下,您需要執行一些操作才能完成此過程。如果未進行清理,請檢查以下事項:
- 檢查檔案位置是否為唯讀。例如,檢查網路共用是否具有唯讀權限。
- 檢查是否需要開始掃描。
- 檢查是否需要重新啟動裝置。如果某些檔案被鎖定,則可能需要執行此操作。
在某些情況下,可能會進行偵測,但我們無法清理檔案。例如:
- 檔案位於封存或其他類型的容器中。
- 我們的反惡意軟體元件沒有關於如何清理檔案的說明。
在您需要採取行動或需要調查 PUA 偵測時,我們會透過警示告知您。下表包含警示範例。
| 訊息 | 說明 |
|---|---|
| 需要手動清理惡意軟體 | 已嘗試清理但失敗。 |
| 需要手動清理 PUA | 已嘗試清理但失敗。 |
| 未清理惡意程式 | 此偵測類型無法使用清理指示。 |
| 若要完成清理,需要進行電腦掃描 | 您需要開始掃描或等待下一次排定的掃描。 |
| 由於檔案信譽良好,清理已取消 | Sophos Live Protection將該文件分類為合法文件,涵蓋了Sophos本地啟發式和基於簽名的方法偵測的潛在有害程式 (PUA)。 |
處理清理失敗
您應該調查清理失敗,因爲它們可能表明更嚴重的問題。請參見 解決 PUA 警示。
例如,許多威脅具有多個元件,如果一個元件處於活動狀態且未被偵測到,則其可以鎖定其他項目。這可在偵測到威脅時防止威脅被移除。這將在偵測到的元件上顯示為清理失敗。您必須找出是否存在未偵測到的惡意軟體。
如果偵測存在威脅情況,您可以使用它來查找更多資訊,例如偵測到的項目如何出現在系統上、啟動的內容或系統上與之關聯的其他內容。