恶意软件“合体”考验员工安全意识
来源:互联网 发布:非洲殖民知乎 编辑:程序博客网 时间:2024/06/11 17:45
作者:Francis Saguiguit (趋势科技威胁分析师)
就在不久前,我的一位同事Menard Oseña在参加 RSA 大会之后撰写了一篇文章,讨论企业在使用社交媒体以及处理企业信息时,务必建立良好的安全意识。此外,在该文当中,他特别强调企业应该通过正确的用户认知、信息安全政策以及信息安全技术来确保自己免于内部与外部的威胁。
本文将进一步说明,这项原则不仅适用于社交媒体的运用,而是整个企业运算基础架构皆适用。
WORM_FLASHY.VRX:三合一恶意软件
最近,我们在一些企业网络中发现了一种非常有意思感染情况,这是一种结合多种恶意软件并且「意外地」衍生出一种合体恶意软件的案例。
我们在同一个网络上发现了一只蠕虫与二个文件感染程序,分别是:WORM_FLASHY.AA、PE_CHIR.B 与 PE_VIRUX.AA,然而由于这些恶意软件会互相结合,因而让感染情况更加严重,使得网络运作不稳定。以下详细说明这类感染的发生经过:
· 首先,WORM_FLASHY.AA先感染某台计算机,将自己复制到系统文件夹、共享磁盘驱动器以及可卸除式磁盘。
· 接着, PE_CHIR.B感染同一台计算机,它会检查该计算机上的WORM_FLASHY.AA蠕虫是否有自己的感染标记。如果没有,PE_CHIR.B就会感染该WORM_FLASHY.AA蠕虫,然后留下感染标记。
· 接着,PE_VIRUX.AA又感染这台计算机,并且检查其WORM_FLASHY.AA蠕虫是否有自己的感染标记。如果没有,同样也会感染WORM_FLASHY.AA。
· 最后,当WORM_FLASHY.AA再次执行时,它所散播的复本已不再是原始的版本,而是已感染了PE_CHIR.B和PE_VIRUX.AA的合体版本。这个新的版本就是趋势科技所侦测到的WORM_FLASHY.VRX。
这项攻击当中最重要的关键是WORM_FLASHY.AA。此蠕虫在设计时即具备一些弹性让其复制散播的部分可以修改,而不是只散播最原始的版本。因此,当WORM_FLASHY.AA被 PE_CHIR.B 和PE_VIRUX.AA感染时,它后续散播的恶意软件会变成WORM_FLASHY.VRX,也就是三者的合体。
WORM_FLASHY.VRX的恶意行为非常多样,因为它同时包含了三种恶意软件的散播、感染与其他行为:
预防永远胜于治疗
虽然上述攻击看似复杂,但预防方法却相当简单,只要遵循一些计算机与网络设定的最佳实务原则即可:
· 设定计算机停用移动存储装置的自动播放功能
· 将共享磁盘驱动器与共享文件夹的权限设定为「只读」
· 让计算机随时更新最新的安全补丁
· 拦截可执行的电子邮件附文件
· 监控网络是否有可疑的联机或活动
· 确保所有计算机都安装信息安全软件,并且务必启动实时扫瞄功能
正如我同事Menard所说,不论是社交网络或计算机网络,企业越疏于防范,歹徒就越容易得逞。
- 恶意软件“合体”考验员工安全意识
- 如何提高员工的安全意识
- 安全的根本在于员工的安全意识
- 六大技巧提升员工信息安全意识
- Facebook:Java漏洞曾使员工电脑被安装恶意软件
- 朝鲜黑客升级对比特币交易所员工的恶意软件攻击
- 恶意软件一大把
- 抵御内核恶意软件
- 手机恶意软件
- 阻止Linux恶意软件
- Linux恶意软件简史
- 考验
- 考验
- 集成考验协同OA软件发展
- Android恶意软件增多专家建议装反恶意软件
- 全方位深入解析恶意软件
- 反流氓、恶意软件套餐
- 防杀恶意软件心得
- VC链接SQL数据库
- mysql查看某个表的表定义
- OEMInit详解
- php编码与字符串处理
- How-to create a Calculator on Google Android: Part I
- 恶意软件“合体”考验员工安全意识
- ASP.NET 页面缓存机制
- How-to create a Calculator Using Google Android: Part II
- Wince 5.0 USB 驱动中address管理的实现
- linux 2.6.38 内核不见 fs mm net 等实现部分
- 如何添加网站favicon.ico图标
- 【转】Zeroc ICE的示例(转载)
- CTS、CLS和CLR的关系
- 面向对象思想