探测和分析
1 根据具体的情况决定处理的顺序
1.1 确定被感染的设备和资源,预测哪些设备和资源将会被感染
1.2 从技术的角度评估恶意代码目前和潜在的影响
1.3 根据技术方面的影响以及受影响的资源,根据网络矩阵优先级选择合适的单元
2 发送病毒通告给局域网中相关人员和外网中的相关组织或单位
封锁,杀除和恢复
3 对恶意代码的封锁
3.1 确定被感染的系统
3.2 切断被感染系统与网络的连接
3.3 修补可能会被恶意代码利用的漏洞
3.4 如果可能,对恶意代码的传输进行阻塞
4 杀除恶意代码
4.1 对被感染文件进行杀毒,隔离,删除和覆盖操作
4.2 对局域网中的其他系统进行漏洞修补工作
5 恢复
5.1 确定被感染系统功能恢复正常
5.2 如果可能,对该系统进行监视,寻找是否还有与恶意代码相关的动作存在
处理完的后期工 作
6 做一个事件备忘录
7 开学习研讨会
下面对关于处理恶意代码的重点建议做一个总结:
* 提高自身对恶意代码的警惕性:我们应该了解恶意代码的繁殖方式和感染征兆。提高自身对恶意代码的警惕性。知道如何安全处理邮件附件,从而减少病毒感染的可能性。
* 阅读反病毒报告:反病毒通过对于最新的病毒给予及时的报道。
* 对重要的核心主机设置基于主机的入侵检测系统,并安装文件完整性检测工具:基于主机的入侵检测系统和文件完整性检测工具能够探测到恶意代码的迹象,例如设置的变化和执行文件的变化。
* 使用反病毒软件,并定期升级最新的病毒特征码:对所有可能传递恶意代码的主机和设备安装反病毒软件。设置反病毒软件探测,清除或是隔离被恶意代码感染的文件。所有的反病毒软件应该保证定期升级最新的病毒特征码,使它能够探测到最新的病毒。
* 设置软件阻塞可以文件:对于有可能携带恶意代码的可疑文件应该进行阻塞,例如那些扩展名可能与病毒有关的文件,以及带有复合扩展名的文件。
* 避免开放网络共享:许多蠕虫是通过不安全的网络共享传播的。一个被感染的文件可以通过不安全的网络共享,迅速地感染成百上千的电脑。
* 尽可能快地封锁恶意代码:由于恶意代码的隐蔽性以及可跨系统的迅速传播的能力,要防止它的扩散和造成更多的破坏,就必须尽早地对它进行封锁。对于一个系统,就是尽快断开它与网络的连接。对于组织或是单位,则需要在邮件服务器上对恶意代码进行阻塞,或是暂停服务,来防止恶意代码的传播。
