二、清除恶意代码的准备工作
这一节将对防范和解决恶意代码所应做的准备提供指导。
1、解决恶意代码的准备工作
* 使用户警惕恶意代码:这包括使用户对恶意代码的繁殖和感染症状有一定了解。以讲座的形式使用户了解恶意代码的危害性。
* 阅读反病毒软件厂商的病毒通告:与反病毒厂商约定,以便及时获取最新的病毒信息的邮件。
*在存在问题的主机上设置基于主机的入侵检测系统:基于主机的入侵检测系统可以通过设置的变化和系统执行的改变检测到恶意代码,基于完整性测试的文件检测程序可以鉴定系统中被感染的组件。
为了防止木马服务器端和客户端建立连接,一些单位或组织会设置自己的网关来阻塞通常会被木马利用的端口。但是,这种方法效果不是很好。因为,木马可以利用的端口有数百个,而且有的木马可以利用任何一个端口。还有一些木马可以和合法的服务使用同一个端口,这些木马都不能通过阻塞端口的方法来预防。一些单位或组织执行了错误的端口阻塞策略,以至于一些合法的服务也被阻塞。对每个木马执行过滤策略对过滤设备的储存量的要求也会增多。通常只有当一种木马侵入单位或组织的网络之后,他们才会阻塞这个木马所利用的端口。
2、恶意代码的预防
* 使用反病毒软件:反病毒软件对于防止病毒的侵袭和减少病毒的损害是非常必要的。单位或组织中的所有电脑都应该安装反病毒软件,并且及时的升级以防止对新的病毒失去防护作用。反病毒软件也应该被用于传输病毒的程序中,例如:电子邮件,文件传输工具和实时通讯工具。反病毒软件应该设置定期扫描,和对文件的下载、打开、执行进行实时扫描。此外,还应该设置反病毒软件对已感染文件进行杀毒和隔离。一些反病毒软件除了扫描病毒、蠕虫、和特洛伊木马之外,还会对HTML,ActiveX,javascript,和移动代码进行扫描,看它们是否携带恶意代码成分。
* 阻塞可疑文件:通过设置邮件服务器和客户端来阻塞带有可疑附件的邮件,例如:附件的扩展名与恶意代码有关联(例如:.pif,.vbs),或是带有复合扩展名的可以邮件(例如:.txt.vbs,.htm.exe)。
*限制使用不必要的具有传输能力的文件:例如点对点传输文件,音乐共享文件,实时通讯文件和IRC的客户端及服务器端。这些程序经常被用来传播恶意代码。
*教育用户安全处理邮件附件:一般反病毒软件应该被设置成在打开邮件附件之前对附件进行扫描,用户也应该注意不要轻易打开可疑的或是来历不名的附件。用户还应该注意的是,并不是你知道出处的邮件就一定是没有病毒的。因为一些病毒可以自动从系统中搜索邮件地址并利用发信者的帐号发送带毒邮件,而发信者可能此时还不知情。用户还应该了解那些附件是一定不要打开的(例如:.bat,.com,.exe,.pif,.vbs)。尽管对用户的培训可以减低感染恶意代码的可能性和严重程度,但是单位或是组织仍要小心用户的失误所造成的病毒入侵。
*避免开放网络共享:许多病毒都是通过主机上运行的不安全的共享文件来传播的。如果一个组织或单位的某台电脑被感染,那么它可以通过不安全的网络共享把病毒迅速传播到组织内的成百上千的电脑中去。所以,一般组织或单位应该定期检查自己网络中开放的共享,并知道用户安全的使用共享。同时,还应设置网关阻止使用NetBIOS端口的信息进出网关。这样做不仅可以阻止外网主机通过网络共享直接感染内网主机,还可以阻止内网感染的病毒通过网络共享传播出去。
*使用Web浏览器的安全机制限制移动代码:所有的Web浏览器都有安全设置可以阻止来历不名的ActiveX和移动代码控件在本地系统中下载和运行。组织或是单位可以建立网络安全策略来确认移动代码的来源(例如:内网服务器,外网服务器)。
*设置邮件客户端使它更安全:应该对组织或是单位中所有的邮件客户端都进行设置,避免在不经意时被病毒感染。例如:邮件客户端应该设置成为不能自动运行附件。
3、探测与分析
因为恶意代码可以通过许多途径传播,所以,我们也可以通过许多的前兆和迹象来发现它们。
