預防惡意軟件的常見問題
常見的惡意軟件類型
仿冒詐騙是是一種社交工程的攻擊,犯罪者利用電子郵件或欺詐網站,引誘毫無戒心的網絡用戶透露私人資料,例如網上銀行之登入名稱和密碼。
惡意程式碼是會在資訊系統中導致不良結果的程式。惡意程式碼的例子包括電腦病毒、網絡蠕蟲、特洛伊木馬、邏輯炸彈、間諜軟件、廣告軟件和後門程式。由於他們對軟件和資訊處理的設施造成嚴重的威脅,必須採取防備措施防止和查出惡意程式碼。
殭屍網絡即主機遙距控制殭屍電腦所組成的網絡。
蠕蟲是另一種能自行複製和經由網絡擴散的程式。它跟電腦病毒有些不同,電腦病毒通常會專注感染其它程式,但蠕蟲是專注于利用網絡去擴散。從定義上,電腦病毒和蠕蟲是非不可並存的。隨著互聯網的普及,蠕蟲利用電郵系統去複製,例如把自己隱藏於附件並於短時間內電郵予多個用戶。有些蠕蟲 (如 CodeRed),更會利用軟件上的漏洞去擴散和進行破壞。
特洛伊木馬是一個假裝提供正常功能的程式,但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取使用者的密碼資料或破壞硬碟內的程式或資料。與電腦病毒不同,特洛伊並不會複製自己。它的傳播技倆通常是誘騙電腦用家把特洛伊木馬植入電腦內,例如通過電郵上的遊戲附件等。
「間諜軟件」是指在未經用戶允許的情況下,就將用戶網上活動的資料秘密地轉送至別人的軟件。這些資料通常被用作市場推廣用途,例如針對用戶的上網習慣和喜好,以彈出式視窗或垃圾郵件等形式,向用戶發送個人化的廣告。一些間諜軟件也能竊取受害者的文件,甚至獲取敏感和個人資訊。
廣告軟件則會於運行時在螢幕顯示廣告標語,很多廣告軟件同時也是間諜軟件。在許多情況下,免費軟件開發商為用戶免費提供他們的產品時,接受廣告軟件市場贊助,把廣告軟件加入到免費軟件產品中。您應該在安裝任何免費軟件或共用軟件之前仔細地閱讀使用條款。安裝免費軟件和共用軟件時,有可能暗示您同意安裝廣告軟件。
後門程式是在某一網絡埠聽候命令的惡意程式碼的總稱。多數後門程式包括客戶端和伺服器端。客戶端寄居在攻擊者的遠程電腦裡,伺服器端在受感染的電腦系統中。當客戶端和服務器之間的連接建立時,攻擊者就可控制受感染的電腦。例如,後門程式允許攻擊者監測並從一台受感染的電腦竊取資料,上傳和啓動的病毒或者刪掉用戶資料等等。
Rootkit是一種程式/工具,用作奪取系統的根目錄或管理員身份接達權。 Rootkit亦指沒有通過正常授權及/或認證過程的惡意入侵。 Rookit可包含後門程式,和攻擊者用來隱藏自己的蹤跡的工具。
殭屍電腦是指連接互聯網而已經受入侵者、電腦病毒或木馬程式影響的電腦。一般而言,擁有者並不知道該等入侵。該等電腦通常被用作惡意用途,例如在接收遠程指令後作出拒絕服務攻擊。
雖然電腦病毒可寫入(及破壞)個人電腦的 CMOS記憶體,但電腦病毒卻不能「藏」在那裡。惡意程式碼或可會更改 CMOS的資料,因而導致電腦無法啓動,但它卻無法感染 CMOS或匿藏在該處。病毒可利用 CMOS記憶體貯存部分編碼,但貯存在該處的可執行編碼必須先移往電腦的主要記憶體才可執行。迄今尚未發現可把編碼貯存在 CMOS記憶體內的電腦病毒。有報告稱 AMI BIOS曾受木馬程式病毒感染。其實,它不是一種病毒;它只是一種不會複製的「惡作劇程式」。這種有害的程式並不是在磁碟上,也不是在 CMOS內;它只是直接寫入系統上的 BIOS 唯讀記憶體晶片內的編碼。到了每年的十一月十三日,這個程式會終止電腦的啓動過程,並且透過揚聲器播出「 Happy Birthday」 (生日快樂 ) 的聲音。
理論上, BIOS 內有可能藏有電腦病毒,並且可在該處被執行。現有的技術已可協助程式把編碼寫入 BIOS 內。當啓動個人電腦時所執行的程式的最初步編碼,便是貯存在基本輸入輸出系內。
有些病毒是可以在 BIOS內發作,典型的例子就是 CIH 病毒,又稱為 Chernobyl 或 Spacefiller。
惡意軟件如何感染您?
有的,事實上專門針對流動裝置的病毒和惡意程式碼正在以驚人的速度增長。
可以安裝應用程式的手機很即可能遭到病毒或惡意程式碼攻擊。現在已經有少數關於病毒攻擊流動裝的報導,其中的一個例子就是 Cabir。
在 2007年,針對流動裝置的惡意程式碼發展的趨勢的複雜性,抵得上桌面電腦 20年來發展的病毒。比如說,已經有木馬程式和病毒可以通過手機來傳播。原因是現有的流動裝置及其操作平台並不支援現有的抗電腦病毒軟件。
純資料檔案是不受病毒和惡意程式碼感染的,但是它們可以感染含有可執行程式碼的資料檔案。例如:有些病毒和惡意程式碼通過文字處理軟件,如 Microsoft Word 和 Adobe PDF 文檔來傳播。
巨集病毒是一種由巨集語言寫的程式,使用在一些軟件應用程式裡(如文字處理軟件、報表等)。巨集病毒為了繁殖,會利用巨集語言的能力把自己從一個受感染的檔轉移到另一個檔。例如,當打開感染巨集病毒的 Word 檔時,通常病毒會複製到 Word通用範本 (典型的是 NORMAL.DOT) 中,之後打開或創建的所有檔都將一一遭到感染。巨集病毒由於成為受感染檔的一個組成部分,所以可以隨文檔轉移,甚至感染其他的文檔。
如所有的電腦病毒一樣,巨集病毒可以破壞資料和文檔。有些案例中,巨集病毒可以重新格式化電腦的硬碟。雖然已知巨集病毒多數沒有很大破壞力,但卻浪費用戶的生產力和時間。
會,第一隻 Access 檔巨集病毒 JETDB_ACCESS-1 會感染 Microsoft Access 97 資料庫。當你打開一個受感染的資料庫檔案時,此病毒會開始搜尋並逐一感染現行目錄下,及其父目錄和根目錄下的所有 .MDB檔案。
如果你有部份的保安修補程式還未安裝,或執行 ActiveX、 active scripting 及 JAVA 應用程式,或執行從互聯網下載的程式而這些程式可能已感染病毒,因此,你的電腦也有可能受到感染。
電腦用戶在瀏覽互聯網時,應注意採取以下措施:
普通電子郵件的內容,如果只有純文字而不含可執行程式碼的話,是不會受到感染的。但嵌入了可執行的 HTML 格式的電郵,和附加在郵件中的附件都可能會受病毒感染。現時大部份抗電腦病毒軟件都可掃描電子郵件及附件。
您可以採取什麼措施來防範惡意軟件
惡作劇電子郵件是由惡意的個體發出的不真實的謠言、警告、或警報,意圖就是欺騙接收人信以為真的電郵。這些電郵的典型的例子包括與新電腦病毒有關的,促銷,或者其它熱門的、吸引他人注意的相關的惡作劇郵件。惡作劇電子郵件通常有以下一個或多個特徵:
雖然惡作劇電子郵件不直接傷害電腦,但它們包含不真實的資訊而誤導接收者,甚至引起恐慌。轉發惡作劇電子郵件會消耗網絡和系統資源,並且浪費接收者的時間。
處理互聯網惡作劇電子郵件的適當的方式就是不理會它們。為了減少傳播互聯網惡作劇電子郵件,請不要:
你應該定時備份你所有的資料,安裝並啓動即時進行掃描的抗電腦病毒軟件,及使用最新的病毒識別碼和相應的偵測修復軟件,並定期掃描整個系統。
為避免被捲入網絡詐騙,請採用以下的一些最佳做法:
以下最佳做法可以幫助保護您的電腦避免成為一部殭屍電腦:
必須安裝和使用抗電腦病毒軟件或惡意程式碼的檢測和維修工具。您也可以考慮採取類似的產品應付間諜軟件和廣告軟件。用戶應定期更新病毒識別碼及惡意程式碼定義檔。更新功能應設置為自動更新,而更新頻率至少須為每日一次。如無法進行自動更新,至少須每週手動更新一次。
此外,用戶應:
如果你懷疑自己的電腦感染了病毒,你應該停止使用它,因為這可能會散播電腦病毒或惡意程式碼。如果這是你的辦公室的電腦或手提裝置,你要立即向上司和局部區域網 /系統管理員通報。
雖然你可以使用抗電腦病毒軟件刪除惡意程式碼,它可能無法完全恢復受感染的檔案。你應該從原來的備份系統更換任何受感染的檔案。恢復後,完整的掃描自己的電腦和其他可移動存儲媒介,確保一切病毒或惡意程式碼不再存在。
防火牆本身不能偵測出電腦病毒和惡意程式碼。但是,因為防火牆在網絡上的位置是偵測病毒的理想地點,部分防火牆已經設有插入的掃描病毒的程式。此外,亦有部分程式可在防火牆之前或之後的位置偵測病毒。請注意,掃描 FTP或 HTTP檔案的工作會耗用大量網絡資源而且防火牆只是其中一個病毒入侵點,病毒還可經由軟磁碟、移動記憶體和電子郵件感染內聯網。
病毒掃描引擎是實際執行掃描工作及偵測病毒的程式,而病毒識別碼是掃描引擎用以識別病毒的「指紋」。推出新版本的掃描引擎有著不同的原因。舊的掃描引擎可能偵測不出新種類的病毒。新版本的掃描引擎會提高掃描表現及偵測率。部分抗電腦病毒軟件製造商在一個檔案裡提供掃描引擎及病毒識別碼的更新程式,另一些則以分開的檔案提供。
替電腦系統和網絡定期地更新最新的病毒識別碼對於有效地偵測和阻擋最新的病毒和它們的變種是非常重要的,特別是在高危害病毒爆發的時候。為增強病毒識別碼的更新過程,應該考慮在電腦運行時或登錄到網絡伺服器時,自動地更新所有連接網絡的電腦的病毒識別碼。亦可以考慮使用抗電腦病毒軟件製造商的自動更新病毒識別碼系統去進行自動更新。
局部區域網絡/系統管理員應確保伺服器及工作站均安裝抗電腦病毒軟件或惡意程式碼偵測及修復軟件。電腦病毒識別碼及惡意程式碼定義應配置為自動更新,而更新頻率至少須為每日更新一次。如無法進行自動更新,局部區域網絡/系統管理員應至少每週人手進行更新。
亦應考慮實施以下:
關於網絡方面:
對伺服器端:
此外,管理員應透過登記接收保安通知/警告信息取得最新的安全警告信息。他們應該立即向全體用戶轉達關鍵和主要的電腦病毒警報,教導用戶以令其明白大規模的惡意程式碼攻擊的影響,並確保用戶採取最佳的做法以免他們的電腦感染電腦病毒和惡意程式碼。
有時,我們會在辦公室裡的使用私人電子郵件服務。然而這時,最好安裝一台單獨的、沒有連接上網絡的電腦,並使用專門的互聯網去讀取私人電子郵件。另外,這台單獨的電腦應該由安裝了最新的病毒識別碼的抗電腦病毒軟件進行保護。並且先檢查接受到的電子郵件的附件,才讓它們進入到內部系統和網絡。
有關防病毒軟件的其他問題
EICAR是「歐洲電腦抗毒研究機構」( European Institute for Computer Anti-virus Research)的簡稱。它在科學、研究、發展、實施和管理的領域,為 IT保安專家提供一個獨立而公平的平台。它利用一系列的知識資料庫,來制訂最佳做法步驟和說明指南。 EICAR的官方網站是 http://www.eicar.org。
肆意傳播表 ( Wild List ) 是指全球流行的電腦病毒清單。這個清單刊載在肆意傳播表國際組織 (WildList Organisation International)的網站內。這個組織由 Joe Wells 和 Sarah Gordon 在 1996年建立。他們與全球抗毒研發隊伍和自願者緊密合作,定期更新清單內容,目的是提供準確、及時和全面的電腦病毒最新的資訊。該組織免費向公眾提供這個肆意傳播表。
很可能作業系統或其它程式正在使用你想刪除病毒的檔案。最好是以安全模式重新開機,然後用抗電腦病毒軟件或別的刪除工具刪除病毒。
抗電腦病毒軟件不單能偵測病毒,亦能偵測其他可能無法刪除的惡意程式碼。例如,特洛依木馬就是應該刪除的,而非嘗試刪除的惡意程式碼。在另一些情況下,病毒可能損毀檔案而令它無法復原。不過,這裡有一些指引,可以提高你成功復原檔案的機率:
若果仍告失敗,可獲取病毒樣本及送往抗電腦病毒軟件製造商,以便其作出指引。
根據以往的經驗,病毒感染大多數與處理電郵時的操作方式,或與資訊科技保安管理方式相關。例如,不難看見一個用戶直接利用辦公室的電腦來存取由外部互聯網供應商或電子郵件服務提供的私人的電郵帳戶。這樣私人的電郵服務可能未通過互聯網集中管理或電郵通訊閘的病毒偵查過程。因此,強烈建議用戶不要在工作時使用私人電子郵件服務。請看相關問題 [如果必須在工作環境中使用使用私人電子郵件,我應該怎麼做? ],以瞭解更多關於在工作環境中使用個人電郵的細節。
另一個原因是直接連接到了辦公室的互聯網服務,例如為個別職員安排的寬頻或撥號調制解調器接入的互聯網服務。這樣病毒就會繞過中央互聯網通訊閘提供的周邊防護措施。職員的筆記本電腦在辦公室之外時感染了病毒,然後回到辦公室環境繼續使用,也是另一個感染源。
另外,有些病毒會利用軟件漏洞,除非應用了對應的最新的保安修正檔才能有效地阻止它。除了上述之外,用戶應時刻保持保安意識,採取最佳的操作方式。當用戶處理文件和電子郵件時,應該保持警惕,不要打開或轉發可疑電郵或他們的附件,這樣就可以減低電腦感染病毒的機會。
嚴格來說,並沒有「被特洛伊或蠕蟲感染的檔案」。病毒和特洛伊或者蠕蟲之間的一個區別就是病毒將複製自己到一個乾淨的檔案,當受病毒感染的乾淨檔案被執行或被打開時,病毒將感染其他乾淨的檔案。
特洛伊木馬是一種惡意程式碼安裝在受感染的電腦中但並不附在任何檔案上。橫跨網絡傳播的蠕蟲也是一種惡意程式碼,但它並不會複製到一個乾淨的檔案。所以當電腦感染特洛伊或蠕蟲時,沒有可修復的檔案。
37-1. 我聽說過群發郵件病毒和它的欺騙能力,它有什麼特性?
某些電腦病毒能大規模發送感染了病毒的電子郵件。這種病毒通常從受感染的電腦偷取電郵地址(如電郵程式中的地址簿),然後隨機選擇某些電郵地址發送感染了病毒電子郵件。它也能偽裝寄件人和收件人地址。
因此,電子郵件上的寄件人可能不是真正的寄件人。這可以使電子郵件看起來是由另一人發送的,而事實上並非如此。這是一個常見的手法以圖欺騙收件人,並掩飾病毒的來源。
如果你收到此類病毒感染的電子郵件,它意味著你的電郵地址可能是在別人受感染的電腦中被偷取,並且已經在這個過程中傳播受感染的電子郵件。遇到這種情況時,你的電郵地址也可能被利用為偽裝寄件人地址,並發送出更多病毒感染的電子郵件到其他用戶。
37-2. 如果我收到群發郵件病毒生成的受病毒感染的電郵,我該怎麼辦?
你應該拒收和刪除這種郵件,不要打開其附件。你應該確保你的電腦有完善的抗電腦病毒保護機制,同時抗電腦病毒軟件安裝了最新的病毒識別碼和偵查修復引擎。除非可以確認受病毒感染的寄件者的電郵地址是真實的,否則不要寄發任何詢問郵件給寄件者,因為寄件者的地址大多是偽裝的,並且寄件者和受病毒感染的電郵無關。這樣可以避免進一步混亂和多餘的投訴。
如果從外部互聯網供應商下載的電子郵件內包含病毒,而用戶的工作站並沒有適當的病毒保護措施 (即沒有啓動已安裝最新病毒識別碼抗電腦病毒軟件的自動保護功能),工作站便會容易地受病毒感染。受感染的電腦可能會進一步繼續感染其他網絡上連接的伺服器的檔案和目錄,病毒通過內部網絡傳播,並觸發大規模的電腦病毒感染。部署一個中央互聯網通訊閘是一種有效的解決方案,它能提供額外的病毒防護層,阻攔危險的電子郵件及其附件,例如那些副檔名為 .EXE附件。而且,及時和定期的更新最新的病毒識別碼到中央互聯網通訊閘,比設法更新所有用戶的電腦相對更容易,因此它更為可靠和安全。