专家解析恶意软件并介绍六种应对方法

我心飞翔

    有时候就算用上了各种防护措施，你还是无法摆脱恶意软件的入侵。那么一旦遭遇恶意软件入侵，你该怎么办呢？这里将向大家介绍遭遇到恶意软件后的六个基本应对步骤。
    作为一个网络安全管理人员，我们一直在尽可能地为系统安装补丁和升级，对系统进行安全测试，建立使用合理的安全策略。不幸的是，尽管我们做了这些工作，但是仍然无法完全避免系统被病毒，蠕虫或者其他恶意软件入侵。
    什么是恶意软件？
    恶意软件是一种在用户不知情的情况下植入系统的恶意代码或程序，它依赖于网络，可以降低数据或程序的保密性，完整性以及可用性。恶意软件对于网络安全有极大的破坏性，而要恢复被恶意软件感染的系统，人力和财力成本都相当高。
    我们可以将恶意软件威胁分为五大类。以下是每一类的大致介绍：
    ◆病毒: 这是一种可以自我复制的代码，它将自身植入到宿主程序或数据文件中。病毒可以攻击操作系统和应用程序。
    ◆蠕虫: 自我复制自我执行的独立程序。蠕虫可以自我复制，并且不需要宿主程序或文件。
    ◆特洛伊木马: 这是独立的非自我复制的程序。这类程序看似无害，但内含了恶意操作。木马程序一般是通过其他攻击软件被植入操作系统的。
    ◆恶意移动代码: 这种恶意软件试图将自身从远程系统下载到用户本地系统。攻击者一般是用这种方式将病毒，蠕虫或者特洛伊木马下载到用户的电脑中。这种恶意代码利用了系统的默认权限以及系统漏洞获取控制能力
    ◆追踪cookies:这种代码存在于很多网站上，它通过cookie的形式允许第三方程序追踪和记录用户的上网行为，攻击者一般联合利用追踪cookie和Web漏洞。
   以上是几类主要的威胁用户和网络安全的恶意软件。当这些恶意软件成功进入了用户的系统，又该怎么处理呢？以下是六点有效的恶意软件入侵响应动作：
    1.准备工作: 建立针对恶意软件入侵事件的应急策略以及处理方案。通过典型的恶意软件对制定的应对策略进行测试，以便确认所制定的方案可以在实战中应用。
    2.检测和分析: 安装和监视反病毒软件／反恶意软件程序。经常阅读由反病毒软件厂商提供的恶意软件预警信息。在可移动存储设备上保存一份最新的恶意软件识别和杀除工具，并测试其运行效果。同时采用其他一些分析方式。
    3.遏制: 准备关闭服务器／工作站，或者关闭某一服务（如电子邮件，Web服务，或者互联网接入服务）以便将恶意软件的危害控制在一定范围。至于到底该停止哪些服务，则需要根据恶意软件的性质来决定。尽早采取遏制措施可以防止恶意软件进一步传播，将内部网络或外部网络的损失降到最低。
    4.铲除: 通过各种可靠的技术将恶意软件从系统中删除 。
    5.恢复: 恢复受感染系统上的数据的机密性，完整性和可用性，然后撤销遏制工作。这包括重新连接系统／网络，利用最新的安全备份文件重新建立受损的系统。事故响应团队应该对恢复网络服务的风险进行评估，而这个评估将会左右管理者决定是否以及何时恢复被停止的服务。
    6.报告: 在每次恶意软件入侵事件后总结经验教训以避免重复错误。调整安全策略和安全软件设置，增加恶意软件检测和预防控制。
    结束语
    在应对恶意软件入侵事件时，你可以使用各种检测和监视工具，但是你仍然需要用户的协助。你要指导用户学会如何识别入侵，并教会他们如何在遭受攻击后实施正确的操作。