恶意软件应对六法

有时候就算用上了各种防护措施，你还是无法摆脱恶意软件的入侵。那么一旦遭遇恶意软件入侵，你该怎么办呢？这里将向大家介绍遭遇到恶意软件后的六个基本应对步骤。

作为一个网络安全管理人员，我们一直在尽可能地为系统安装补丁和升级，对系统进行安全测试，建立使用合理的安全策略。不幸的是，尽管我们做了这些工作，但是仍然无法完全避免系统被病毒，蠕虫或者其他恶意软件入侵。

在以前的专题中，我介绍过建立事故相应策略的方法，以及应对安全事故所采取的标准步骤。但是安全事故的种类很多，规模和目标也不相同。因此，虽然建立一个全面的安全策略非常重要，对于特定的安全事故，还是要有特定的事故应对计划。

之所以要撰写本文，主要是由于目前恶意软件日益猖獗。一个针对恶意软件入侵事故的应对计划并不是针对恶意软件攻击行为的，而是考虑如何在攻击发生后该如何处理。

什么是恶意软件？

恶意软件是一种在用户不知情的情况下植入系统的恶意代码或程序，它依赖于网络，可以降低数据或程序的保密性，完整性以及可用性。恶意软件对于网络安全有极大的破坏性，而要恢复被恶意软件感染的系统，人力和财力成本都相当高。

我们可以将恶意软件威胁分为五大类。以下是每一类的大致介绍：

◆病毒: 这是一种可以自我复制的代码，它将自身植入到宿主程序或数据文件中。病毒可以攻击操作系统和应用程序。

◆蠕虫: 自我复制自我执行的独立程序。蠕虫可以自我复制，并且不需要宿主程序或文件。

◆特洛伊木马: 这是独立的非自我复制的程序。这类程序看似无害，但内含了恶意操作。木马程序一般是通过其他攻击软件被植入操作系统的。

◆恶意移动代码: 这种恶意软件试图将自身从远程系统下载到用户本地系统。攻击者一般是用这种方式将病毒，蠕虫或者特洛伊木马下载到用户的电脑中。这种恶意代码利用了系统的默认权限以及系统漏洞获取控制能力

◆追踪cookies:这种代码存在于很多网站上，它通过cookie的形式允许第三方程序追踪和记录用户的上网行为，攻击者一般联合利用追踪cookie和Web漏洞。

以上是几类主要的威胁用户和网络安全的恶意软件。当这些恶意软件成功进入了用户的系统，又该怎么处理呢？以下是六点有效的恶意软件入侵响应动作：

1.准备工作: 建立针对恶意软件入侵事件的应急策略以及处理方案。通过典型的恶意软件对制定的应对策略进行测试，以便确认所制定的方案可以在实战中应用。

2.检测和分析: 安装和监视反病毒软件／反恶意软件程序。经常阅读由反病毒软件厂商提供的恶意软件预警信息。在可移动存储设备上保存一份最新的恶意软件识别和杀除工具，并测试其运行效果。同时采用其他一些分析方式。

3.遏制: 准备关闭服务器／工作站，或者关闭某一服务（如电子邮件，Web服务，或者互联网接入服务）以便将恶意软件的危害控制在一定范围。至于到底该停止哪些服务，则需要根据恶意软件的性质来决定。尽早采取遏制措施可以防止恶意软件进一步传播，将内部网络或外部网络的损失降到最低。

4.铲除: 通过各种可靠的技术将恶意软件从系统中删除 。

5.恢复: 恢复受感染系统上的数据的机密性，完整性和可用性，然后撤销遏制工作。这包括重新连接系统／网络，利用最新的安全备份文件重新建立受损的系统。事故响应团队应该对恢复网络服务的风险进行评估，而这个评估将会左右管理者决定是否以及何时恢复被停止的服务。

6.报告: 在每次恶意软件入侵事件后总结经验教训以避免重复错误。调整安全策略和安全软件设置，增加恶意软件检测和预防控制。

结束语

在应对恶意软件入侵事件时，你可以使用各种检测和监视工具，但是你仍然需要用户的协助。你要指导用户学会如何识别入侵，并教会他们如何在遭受攻击后实施正确的操作。

（责任编辑:陈毅东）