根据恶意代码迹象的重要性对其进行适当的分级是很重要的,因为它们会传播到其他电脑的系统中。一般情况下,对恶意代码进行基本的分析可以确定入侵的是哪种恶意代码,从而也就可以很容易的确定该恶意代码可能采取的行动。大多数情况下,网络的管理者并不一定知道内网被感染电脑的具体数量,但是他们可以判断出感染的规模是大范围的感染还是仅有很少的系统被感染。
4 隔离、删除和恢复
除了以上介绍的一般性的指导,这节将针对恶意代码的封锁以及对感染来源线索的收集和处理提供详细的建议。
4.1 选择适当的封锁策略
由于恶意代码具有隐蔽和繁殖、传播快等特性,所以对恶意代码的及时封锁可以阻止它传播扩散,从而造成更大的破坏。如果被感染的系统不是很重要,那么就应该尽快地断开它与网络的物理连接。如果被感染系统所起的作用非常重要,除非保持物理连接所承担的安全风险远远超出了该系统所起作用的重要性,否则建议不要随便断开物理连接。如果遇到下面所提到的恶意代码情况,还需要采取其他措施:
* 使用上节提到的措施:当一个系统被感染时,它极有可能会去感染其他系统,所以在设置封锁策略的时候一定要防止病毒向其他系统扩散。
* 鉴别和隔离被感染主机:反病毒软件的报警系统是一个很好的消息来源,但是并不是每个病毒都能被反病毒软件探测到的。所以管理员还需要通过其他手段来寻找感染信息。
例如:
- 通过端口扫描来查看是否有木马在监听端口
- 使用反病毒扫描和专杀工具来清楚特定的病毒
- 通过查看邮件服务器、防火墙甚至是具体某台主机的日志来判断是否有病毒侵入
- 设置网络和主机的入侵检测软件来识别可能的病毒活动
- 审查运行中的进程是否是合法进程
* 发送未知病毒的样本给反病毒厂商:有时候,反病毒软件无法识别已感染的恶意代码,用户不通过反病毒厂商升级特征码将无法对恶意代码进行隔离来防止它扩散。这种情况下,用户应该恶意代码的样本提交给反病毒厂商。
* 通过设置邮件服务器和客户端来阻塞病毒邮件:许多邮件系统都可以通过手动设置来阻塞特定主题,附件名或其他标准来阻塞带有恶意代码的邮件。虽然这种方法并不是十分安全有效,但是在没有相匹配的反病毒特征码时,这种方法是对付将要到来的已知病毒最好的方法。
* 阻塞发送出的访问:如果恶意代码向外部发送病毒邮件或是尝试与外部连接,那么管理员应该阻塞已感染系统尝试连接的外部主机的IP地址或是服务
* 关闭邮件服务器:当遇到破坏特别严重的恶意代码的时候,假设这时内网中已经有大量的主机被感染,并且病毒试图通过邮件传播出去。这时,邮件服务器可能已经被内网中上百台电脑发来的病毒邮件搞得完全瘫痪。这种情况下,关闭邮件服务器,防止病毒向外扩散是非常必要的。
* 断开局域网与因特网的连接:当遇到极为严重的蠕虫病毒侵袭的时候,局域网可能会因此瘫痪。有时情况严重,外网的蠕虫还可以使局域网与因特网连接的网关完全瘫痪。一般遇到这种情况,特别是如果局域网已经因为蠕虫完全无法同因特网取得联系时,最好断开局域网与因特网的连接,这样可以保护局域网内的系统不会遭到外网蠕虫的侵袭;如局域网已经被蠕虫感染,这样做也可以防止蠕虫感染其他网络的系统和造成网络拥塞。
确定局域网中被感染和存在漏洞的主机需要通过复杂的动态运算。如果网络中所有的电脑都开着,并且连在网中,那么清除恶意代码就会变的相对简单一些。但是,实际情况中可能存在被感染的主机没有开机,或是迁移到其他网络中,或是电脑虽然开着,但是用的人已经离开了办公室等情况。存在漏洞的主机尽管在使用者不在时是关闭的,但是它很可能一开机就被病毒感染。确定被感染和存在漏洞的主机不能仅仅依赖于我们的参与。无论如何,单位或组织也没有足够的人力和时间去对每台主机进行手动检查,特别是当这里有很多人是使用移动电脑或是在家里通过使用与工作单位连接的计算机终端来进行远距离工作时。在出现大规模的恶意代码爆发时,组织或是单位必须慎重考虑这些情况,从而采用最有效的封锁策略。
4.2 感染来源线索的收集和处理
尽管收集这些线索是可能的,但是这并没有多大用处,因为恶意代码既可以自动传播,也可以通过被感染用户传播。所以,确定病毒的来源是非常困难并且费时间的工作。但是,收集病毒样本用于以后的测试在某些情况下是非常有用的。
4.3 杀除与恢复
反病毒软件可以有效的鉴定和清除恶意代码;尽管有的被感染文件是无法清除的(这些文件可以被删除或用未被感染的备份文件覆盖;对与一个程序来说,被感染程序可以卸载重装。)。这样,即使病毒为它的操纵者窃取了管理员级的权限,它也将无法执行操作者接下来的指令,在这种情况下,用户可以用未被感染的备份文件来恢复系统,或是重新安装。然后应该采取措施保护系统使它不会在轻易地被同一种恶意代码感染。