病毒和蠕蟲, 保護免受災害
在2003 年病毒損傷估計在$55 十億。"新加坡- 趨向微公司, 世界的第三大反病毒軟體製作商, 2003 年的總和說星期五, 電腦病毒攻擊費用全球企業估計$55 十億在損傷, 今年會上升。在2002 年公司丟失了大致$20 十億到$30 十億從病毒攻擊, 在2001 年從大約$13 十億起, 根據各種各樣的產業估計。" 這是故事橫跨數以萬計通訊社書桌2004 年1月。喪失$55 十億, 它花費了多少您的公司? 多少它花費了某人您知道?
I 。為什麼
有平均10-20 病毒發布了每天。少數這些病毒實際上非常做?Wild? 階段。病毒被設計利用安全漏洞在軟體或作業系統。這些缺點可能是一樣大膽像微軟視窗NetBIOS 份額對盤剝使用緩衝溢出。緩衝溢出發生當攻擊者長期送對節目的反應然後什麼被期望。如果受害者軟體不被設計得很好, 那麼攻擊者能重寫記憶被分配到軟體和執行惡意代碼。
人們做病毒因為各種原因。這些原因範圍從政治對財政對英名喪盡對亂砍工具對簡單的惡意意向。
政治: Mydoom 是被傳播以一個政治議程病毒的一個好例子。這病毒的二個目標是微軟和SCO 小組。SCO 小組聲稱他們擁有Linux 原始代碼的一個大部份被威脅起訴大家使用Linux 作業系統(以"被竊取的" 編程的來源) 。病毒是非常有效敲在SCO's 網站下。但是, 微軟有足夠時間為第二次攻擊和高效率地橫跨一步的災害做準備。
財政: 一些病毒作家由其它黨雇用對或過濾財務資料從競爭者或做競爭者看起來壞公眾熟悉。產業間諜活動是可能登陸一個人在監獄裡為生活的一個高risk/high 支出領域。
英名喪盡: 有一些寫病毒只為了得到他們的名字。這是偉大的當病毒作家是劇本kiddies 因為這幫助當局搜尋他們。有有作者的電子郵件在原始代碼或打開劇本的幾著名病毒
亂砍黑客給協助有時寫受控病毒在一臺遠程電腦的通入。他們將增加酬載來病毒譬如電腦程式內的病毒允許容易的通入入受害者系統。
Malious: 這些是是最危險的人民。這些是對毀壞的網路和系統的單一意圖編碼病毒沒有偏見的blackhat 黑客。他們得到高在看他們的創作的完全破壞, 和非常很少是劇本kiddies 。
被寫和被發布的許多病毒是病毒由劇本kiddies 修改。這些病毒知道作為原始的病毒的世代和非常很少被修改足夠是引人注目的從原物。這抽去回到事實劇本kiddies 不明白什麼原始的代碼做並且不只修改什麼他們認可(文件附本或受害者的網站) 。這缺乏知識使劇本kiddies 非常危險。
II 。怎麼
惡意代碼困擾電腦系統自電腦成為了一個共同的家用電器之前。病毒和蠕蟲是惡意代碼例子被設計傳播和導致系統執行它最初未被設計做的作用。
病毒是需要起動或奔跑的節目在他們是危險或傳播之前。電腦系統只成為傳染一旦節目運行並且酬載有蜂部署。這就是為什麼黑客和薄脆餅乾設法碰撞或重新開始電腦系統他們一次複製病毒它。
有病毒能傳播的四種方式:
1.) 電子郵件
2.) 網路
3.) 下載或安裝softwarev 4 。) 插入被傳染的媒介
傳播通過電子郵件
許多電子郵件傳播了當用戶接受被傳染的電子郵件。當用戶打開這電子郵件或預覽它, 病毒現在是活躍和開始立刻傳播。
傳播通過網路
許多病毒是網路明白。這意味著, 他們尋找無擔保的系統在網路和複製自己對那個系統。這行為毀壞網路表現和導致病毒傳播橫跨您的系統像野火。黑客和薄脆餅乾並且使用網際網路和網路連接傳染系統。他們並且不僅掃描為無保護的系統, 但他們知道軟體弱點的目標系統。這就是為什麼保持系統最新很重要。
傳播通過手工設施
安裝軟體從下載或盤增加傳染風險。只安裝知道是安全的被信任的和被掃描的軟體。停留從免費軟體和共享軟體產品。這些節目為人所知包含Spyware 、Adware, 和病毒。這是還好政策deny 試圖安裝自己除非明確地需要的所有網際網路軟體。
傳播通過引導扇區
一些病毒腐敗盤引導扇區。這意味著如果其它盤掃描被傳染的盤, 傳染傳播。引導扇區病毒跑在盤被插入之後或硬碟自動地被連接。
III 。使病毒和蠕蟲減到最小的作用
我們有關於毀壞使命重要公司資料, 花費公司幾個月恢復和數以萬計美元和工時恢復資訊的病毒的所有聽見的故事。最後, 仍然有許多小時, 費用, 和會是依然是unaccounted 的贏利。一些公司從一次毀滅的攻擊充分地從未恢復。採取簡單的防備措施可能保存您的事務
反病毒軟體
其它步將運行地方電腦的一個反病毒程式。許多反病毒程式提供活更新軟體和自動地下載最新的病毒定義分鐘在他們被發布之後(非常重要您每週核實這些更新如果不每日) 。小心哪個反病毒程式您選擇了。安裝個人電腦antivirus 在網路可能是破壞性的在表現比病毒在工作。Norton 做有效的公司編輯具體地被設計為視窗NT 伺服器和網路環境。當使用antivirus 軟體在網路, 配置它忽略聯網驅動器和分開。只掃描地方系統和關閉自動保護特點。自動保護經常掃描您的網路資訊流通量和導致損傷網路問題。公司編輯通常有這失去能力。個人電腦編輯不。
電子郵件客戶不打開電子郵件從未知的來源。如果您有一個網站為電子商務交易或作為一張真正名片, 確信, 電子郵件搞到preset 主題。如果電子郵件被送通過伺服器端設計代替用戶電子郵件客戶, 指定誰它來自因此您知道什麼電子郵件信任。使用常識當看您的電子郵件。如果您看見奇怪的電子郵件與附件, 不要打開它直到您核實誰它來自。這是怎麼多數毫米蠕蟲傳播。
功能失效預覽單塊玻璃在電子郵件客戶。電子郵件客戶譬如外型和Outlook Express 有將允許您預覽消息的一個特點當電子郵件被突出。這是一個主要安全漏洞, 立即將解開病毒如果電子郵件被傳染。
這並且是一個好想法關閉使客戶觀看HTML 格式化的電子郵件的特點。大多這些病毒和蠕蟲通過使用HTML 作用"< i f r a m e s r c >" 和跑附上文件在電子郵件倒栽跳水之內。
我們將採取快速查找在電子郵件與將打開文件叫做readme.exe 的附屬的倒栽跳水"您現在被傳染" 。
"主題: 您現在是被傳染的MIME 版本: 1.0 內容類型: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF _====" X 優先權: 3 X MSMail 優先權: 正常X Unsent: 1 對: 未公開接收者:;
-- ====_abc1234567890def _==== 內容類型: multipart/alternative;
boundary="====_ABC0987654321DEF _====" *** (這叫iframe)
-- ====_abc0987654321def _==== 內容類型: text/html;
charset="iso-8859-1" 內容轉移內碼: 引述可印
< H T M L > < H E A D > < / H E A D > < b O D Y b g C o l o r = 3 D # f f f f f f > < i f r a m e s r c = 3 D c i d : EA4DMGBP9p height=3D0 width=3D0> *** (這叫readme.exe) < / i f r a m e > < / b O D Y > < / H T M L >
-- ====_abc0987654321def _====--
-- ====_abc1234567890def _==== 內容類型: audio/x-wav;
name="readme.exe" *** (這是virus/worm) 內容轉移內碼: base64 內容I.d: *** (注意 < i f r a m e s r c = ? >)
PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0aW9u YWwvL0VOIj4NIDxodG1sPg08.aGVhZD4NPHRpdGxlPldobydzIHRoZSBiZXN0LS0tLS0tPyAt IHd3dy5lemJvYXJkLmNvbTwvdGl0bGU+DQ0NDTxzY3JpcHQgbGFuZ3VhZ2.U9amF2YXNjcmlw dCBzcmM9aHR0cDovL3d3dzEuZXpib2FyZC5jb20vc3BjaC5qcz9jdXN0b21lcmlkPTExNDc0 NTgwODI+PC9zY3JpcHQ+DTxzY3JpcHQgbGFuZ3VhZ2.U9ImphdmFzY3JpcHQiPg08IS0tDWZ1 bmN0aW9uIE1NX29wZW5CcldpbmRvdyh0aGVVUkwsd2luTmFtZSxmZWF0dXJlcykgeyAvL3.Yy
*** 打破保護innocent 。(蠕蟲被輸入在Base64)
aHJlZj1odHRwOi8vY2l0YWRlbDMuZXpib2FyZC5jb20vZmNhbGhpc3BvcnRzZnJtMT5Gb290 YmFsbDwvYT4NIA08Zm9udCBjb2xvcj0jRkYwMDAwPiAtIDwvZm9udD4NDTxicj48YnI+PGJy Pjxicj5Qb3dlcmVkIEJ5.IDxhIGhyZWY9aHR0cDovL3d3dy5lemJvYXJkLmNvbS8+ZXpib2Fy ZK48L2.E+IFZlci4gNi43LjE8YnI+Q29weXJpZ2h0IKkxOTk5LTIwMDEgZXpib2FyZCwgSW5j Lg08L2NlbnRlcj4NPC9ib2R5Pg08L2h0bWw+DQ0NDQoNCj ==
-- ====_abc1234567890def _====--"
電子郵件伺服器第一步對使病毒減到最小的作用將使用電子郵件伺服器那過濾器接踵而來的電子郵件使用antivirus 軟體。如果伺服器迄今被跟上, 它將捉住多數許多郵件(毫米) 蠕蟲。要求您的網路服務提供戶(ISP) 如果他們提供antivirus 保護和發送同樣的消息到多個新聞組過濾在他們的電子郵件伺服器。這項服務是無價的, 應該總包括因為第一防禦範圍。
許多公司安置下載所有電子郵件從幾個外在電子郵件和然後跑內部病毒過濾器的一臺內部電子郵件伺服器。結合一臺內部電子郵件伺服器與ISP 保護對一個公司是一完善與它職員。這個選擇增加控制額外層數, 而且增加更多管理時間。樣品specs 為一臺內部電子郵件伺服器是:
設定#1
* Linux: OS
* Sendmail: 郵件伺服器
* Fetchmail: 劫掠發電子郵件從外在電子郵件
* F-prot: Antivirus
* SpamAssassin: 發送同樣的消息到多個新聞組過濾器
設定#2
* 勝利2003 年伺服器: OS
* 交換: 電子郵件伺服器
* Symantec antivirus: Antivirus
* 交換聰明的消息過濾器: 發送同樣的消息到多個新聞組過濾器
軟體更新保留您軟體最新。某一蠕蟲和病毒複製品通過弱點在服務和軟體在目標系統。代碼紅色是一個經典例子。在八月2001 年, 蠕蟲使用了一個已知的緩衝溢出弱點在微軟的IIS 4.0 和5.0 包含在Idq.dll 文件。這會允許攻擊者運行他們要對在受影響的系統的任一個節目。其它著名蠕蟲告訴Slammer 被瞄準的微軟SQL 伺服器2000 年和微軟桌面引擎(MSDE) 2000 年。
當更新您的軟體, 保證使不是需要的特點和服務失去能力。一些WinNT 的版本有一臺網路伺服器稱IIS 安裝。如果您不需要服務, 確定它被關閉(代碼紅色是一個完善的例子) 。由只使能您需要的服務, 您減少攻擊風險。
電信安全安裝一個防火牆在網路。防火牆是阻攔不需要的交通從去到/從內部網路的設備或軟體。這給您交通的控制進來和出去您的網路。在極小值, 塊口岸135,137,139,445 。這停止多數網路明白的病毒和蠕蟲從傳播從網際網路。但是, 它是好實踐阻攔所有交通除非具體地需要。
安全政策實施包括項目譬如可接受的用途的安全政策, 電子郵件保留, 和遠程存取可能去長的路保護您的資訊基礎設施。增加每年訓練, 雇員將是足夠消息靈通幫助保持資料可靠代替更加後面它。得以進入對您的網路或資料的每個體需要遵循這些規則。它只採取一次事件減弱系統。只安裝被證明的和被掃描的軟體在系統。最殘損的病毒來自安裝甚至插入一張汙染的盤。引導扇區病毒能是一些最堅硬的malware 擊敗。簡單地插入一個軟碟與引導扇區病毒可能立刻轉移病毒到硬碟。
當瀏覽網際網路, 不要下載untrusted 文件。許多網站將安裝Spyware 、Adware 、寄生生物, 或特洛伊人以"行銷的名義" 在信任的受害者電腦。許多捕食在不讀popup 窗口或不下載免費軟體或共享軟體軟體的用戶。一些站點甚而用途代碼利用弱點在Internet Explorer 自動地下載和奔跑未批准的軟體沒有提供您選擇。
不要安裝或不要使用P2P 節目像Kazaa 、Morpheus, 或Limewire 。這些節目安裝伺服器軟體在您的系統; 根本上後面dooring 您的系統。有並且數以萬計被傳染的文件漂浮在將激活何時下載的那些網路。
備份& 災害補救計劃保留每日備份offsite 。這些可能是以磁帶, DVD-R, 可移動的硬碟的形式CD-R, 甚至獲取文件傳送。如果資料成為損壞, 您能恢復從最後知道的好備份。最重要的步當從事一個備用做法將核實, 備份是成功。許多人民假設, 備份運作只發現驅動或媒介是壞六個月更加早期當他們由病毒傳染了或丟失了一個硬碟。如果您設法歸檔的資料是較少然後五個違規記錄, DVD-R 驅動是一種巨大解答。兩張驅動和盤下來在價格和現在是一個可行選擇。這並且是最快速的備用方法的當中一個處理和核實。為更大的備份, 磁帶驅動器和可移動的硬碟是最佳的選擇。如果您選擇這個方法, 您將需要轉動備份以五個或七個不同媒介(磁帶, CD/DVD, 可移動的驅動) 使多數脫離過程。它並且被建議採取"主要" 備份出於自轉在一預定的依據和檔案offsite 在一個耐火保險櫃。這保護資料免受火、洪水, 和偷竊。
在網際網路年齡, 瞭解, 您必須維護這些過程將幫助您獲得成功何時防止損傷和使時間、費用, 和責任減到最小被介入在災害補救階段期間如果您是受影響的。
資源
病毒資源F-PROT: http://www.f-prot.com/virusinfo/ McAfee: http://vil.nai.com/vil/default.asp Symantec Norton: http://www.symantec.com/avcenter/ 趨向微: http://www.trendmicro.com/vinfo/ NIST GOV: http://csrc.nist.gov/virus/
免費軟體AVG 反病毒- http://free.grisoft.com 釋放F-Prot - http://www.f-prot.com 自由為家庭用戶
釋放網上病毒掃瞄BitDefender - http://www.bitdefender.com/scan HouseCall - http://housecall.trendmicro.com McAffe - http://us.mcafee.com/root/mfs 熊貓ActiveScan - http://www.pandasoftware.es/activescan/activescan-com.asp RAV Antivirus - http://www.ravantivirus.com/scan
釋放網上特洛伊掃瞄TrojanScan - http://www.windowsecurity.com/trojanscan/
釋放網上安全掃瞄Symanted 安全檢查- http://security.symantec.com/sscv6 測試我的防火牆- http://www.testmyfirewall.com/
事件反應和安全隊更多安全資源論壇: http://www.first.org/ 微軟: http://www.microsoft.com/technet/security/current.aspx SANS 學院: http://www.sans.org/resources/ Webopedia: http://www.pcwebopedia.com/ 定義
Adware: * 收集關於用戶的資訊為了顯示廣告在瀏覽器根據資訊它spyware 的形式從用戶的瀏覽樣式收集。
已經被給用戶與廣告的軟體埋置了在應用
Malware: * 短為惡意軟體, 軟體具體地被設計損壞或打亂一個系統, 譬如病毒或電腦程式內的病毒。
劇本Kiddie: * 人, 某人技術上不複雜, 任意地尋找一個具體弱點在網際網路為了獲得對一個系統的根使用沒有真正地瞭解什麼這是s/he 通常剝削因為弱點由別人發現了。劇本kiddie 不看瞄準具體資訊或一個具體公司而是寧可使用弱點的知識掃描整個網際網路為擁有那個弱點的受害者。
Spyware: * 隱蔽地收集用戶資訊通過用戶的網際網路連接沒有他們的知識的任一軟體, 為做廣告通常purposes 。Spyware 應用典型地被包當的免費軟體或共享軟體節目一個暗藏的組分可能被下載從網際網路; 但是, 值得注意的是, 多數共享軟體和免費軟體應用不來以spyware 。一旦安裝, spyware 監測用戶活動在網際網路和傳送那資訊在背景中給別人。Spyware 可能並且收集關於電子郵件和甚而密碼和信用卡號碼的資訊。
Spyware 與電腦程式內的病毒是相似用戶無心地安裝產品當他們安裝其他。一個共同的方式適合spyware 的受害者將下載某一同輩對同輩文件交換今天是可利用的產品。
除概念和保密性的問題之外, spyware 竊取從用戶由使用電腦存儲器資源和並且由吃帶寬當它送資訊回到spyware 的本壘通過用戶的網際網路連接。由於spyware 使用記憶和系統資源, 應用運行在背景中可能導致系統事故或一般系統不穩定。
由於spyware 存在作為獨立可執行程式, 他們有能力監測擊鍵, 掃描文件在硬碟, snoop 其它應用, 譬如閒談節目或文書處理軟體, 安裝其它spyware 節目, 讀曲奇餅, 改變系統設計的主頁在瀏覽器, 一致地傳遞這資訊回到或將使用它為advertising/marketing purposes 的spyware 作者或賣資訊對其它黨。伴隨軟體下載的使用協定有時警告用戶, spyware 節目將被安裝與被請求的軟體一起, 但使用協定不可以完全地總讀因為spyware 設施的通知經常橫臥在鈍, 堅硬對讀法律聲明。
特洛伊人: * 化妝作為一種良性應用的一個破壞性的節目。不同於病毒, 特洛伊馬不複製自己但是他們能是正破壞性。最陰險的類型電腦程式內的病毒的當中一個是要求趕走您的電腦病毒但是反而介紹病毒您的電腦的節目。
期限來自一個故事在荷馬的伊利亞特裡, 在裡希臘人給一匹巨型木馬他們的仇敵, 特洛伊人, 外表作為和平提供。但在特洛伊人以後扯拽馬在他們的城市牆壁裡面, 希臘戰士偷偷地走在馬的空心腹部外面和打開城市門, 允許他們的同胞傾吐和奪取Troy 。
病毒: * 被裝載您的電腦沒有您的知識和跑反對您的願望代碼的節目或片斷。病毒能並且複製自己。所有電腦病毒是人被製作。能做拷貝本身的簡單的病毒多次相對地容易生產。這樣簡單的病毒是危險的因為它迅速將使用所有可利用的記憶和將帶來系統給止步不前。更加危險類型病毒是一個能傳送橫跨網路和繞過保安系統。
自1987 年以來, 當病毒傳染了ARPA網, 一個大網路由防禦部門和許多大學使用, 許多反病毒程式變得可利用。這些節目階段性地檢查您的電腦系統最響譽的類型病毒。
某些人民區別在一般病毒和蠕蟲之間。蠕蟲是可能複製自己和使用記憶病毒的一個特殊類型, 但無法附有自己其它節目。
蠕蟲: * 複製自己在電腦網路和通常進行惡意行動的一種節目或算法, 譬如用盡電腦的資源和可能關閉系統。
* 定義提供了由Webopedia
特別感謝出去對CISSP 社區, 各種各樣的首要資訊安全官員(CISO)s, 和對那些在資訊系統安全風險評估專業為他們的幫助在校對和建議。
傑里米・馬丁CISSP, chs-III, ceh
http://www.infosecwriter.com
文章來源: Messaggiamo.Com
Related:
» Seo Elite: New Seo Software!» AntiSpywareBOT
» Reverse Mobile
» Error Nuker
網管得到HTML代碼
加上這條到你的網站!
網站管理員提交你的文章
無須登記!填寫好的表格和你的文章是在 Messaggiamo.Com 目錄!
