1.Worms:蠕虫,memory-resident malware,内存主流的恶意软件。无需附加在可执行文件,消耗大量网络带宽,能使服务器崩溃DoS
2.Trojan Horse:特洛伊木马,是一个打包成其他东西的程序(通常是有害的),Trojan backdoor程序安装后,攻击者能够访问电脑、上载文件并在其上安装软件。允许攻击者在botnet僵尸网络中使用计算机,发起拒绝服务(DoS)攻击或群发邮件垃圾邮件
3.Spyware:间谍软件是监视用户活动并将信息发送给其他人的程序。它可以在用户知道或不知道的情况下安装,例如,被称为“keyloggers(键盘记录器)”的攻击性间谍软件或特洛伊木马程序通过记录输入到web表单中的密钥笔划来捕获信用卡号码
4.ROOTKITS:特洛伊木马程序可以使用文件名run32d11伪装成run32dll。其中一类backdoor很难被发现是rootkit。rootkit是一组工具,用于在不暴露计算机存在的情况下获得对计算机的控制。它们之所以被称为是因为它们是以根或系统级别的权限执行的。rootkit的一般功能如下:
•替换关键系统文件和实用程序,以防止检测和消除rootkit本身。
•为rootkit处理程序提供后门通道,以便重新配置PC、窃取信息或远程安装其他间谍软件或其他恶意软件。
•通过感染固件代码来避开防病毒软件
Trojans and rootkits:特洛伊木马和rootkit的一个用途是扫描其他主机的弱点,并对网络发起拒绝服务(DoS)攻击
5.Ransomware:勒索软件,一类阻止对计算机的访问,一类加密文件,很难修复。
Antivirus software (A-V):防病毒软件
如果检测到恶意软件感染的症状,接下来的步骤应该是:
1.应用隔离(断开网络链接) quarantine、
2.禁用系统还原disable System Restore,
3然后修复受感染的系统remediate the infected system。
4.预约扫描并运行更新
5.启用系统还原,创造还原点
6.educate user
手动清除病毒:
1.任务管理器或taskkill终止可疑进程
2.CMD或使用regedit手动删除注册表项
3.msconfig执行安全引导或引导到安全模式,希望可以防止任何受感染的代码在启动时运行。
4.从干净的备份中还原系统,意味着要失去一些文件
Common symptoms of infection:spyware or adware广告软件
1.pop-ups
2.additional toolbars
3.redirection:打开一个网址,却跳到另一个网站
Rogue antivirus:流氓反病毒,是一种特别流行的伪装特洛伊木马的方法。在这个攻击的早期版本中,一个网站会显示一个伪装成普通Windows对话框的弹出窗口,其中有一个虚假的安全警报,警告用户已经检测到病毒
Digital certificate数字证书,每个网站都有一个数字证书使访问者信任。证书是公钥/私钥对中公钥的包装器。大多数证书是由称为证书颁发机构Certificate Authority (CA)的第三方颁发和担保的。CA向站点证书添加自己的签名。用户可以验证CA的签名,因为CA的根证书Root certificates安装在计算机上。安装受信任的根证书通常需要管理权限。在Windows PC上,大多数根证书更新是作为Windows更新的一部分执行的,或者是由域控制器或管理员作为运行活动目录的一部分安装的。
如果证书有效且可信,则会显示一个挂锁图标。如果证书是高度信任的,地址栏将显示为绿色。如果证书不受信任或无效,地址栏可能会显示颜色编码的警报,并且站点会被警告消息阻止。如果仍要信任该网站,请单击该警告。
Spam:垃圾邮件,其内容通常是advertising pornography广告色情等等,垃圾邮件还被用来发起网络钓鱼攻击和传播病毒和蠕虫。One of the main criminal uses of Trojans is to install spamming software on the “zombie” PC.
恶意软件的表现:Symptoms of malware infection might include:
•
1.启动失败,锁定,很慢,收到屏幕上奇怪的消息或图片Performance issues such as failure to boot, lock ups, slow performance, or strange messages or images on screen.
2.程序经常崩溃Frequent application crashes and 服务问题service problems.
3.**系统文件错误,权限被更改或拒绝访问;增加了新的.exe和.dll文件或者相似的文件名出现。**Changes to system files or changes to file permissions.
4.Event log 里出现大量失败和崩溃的日志。entries showing a high number of audit failures or application and service crash events.
5.一些恶意软件的目的不是攻击,而是类似于间谍的商业窃取 adware or spyware;Web browsers are frequent targets for malware delivery.浏览器突然出现了其他工具栏,主页变了,搜索结果和其它电脑不一样,变慢,崩溃,用户没打开浏览器就弹出网页;重定向
6.当受到威胁的电脑尝试与handler通信;不熟悉的进程或者端口打开了。As compromised PC attempts to communicate with handler, unfamiliar processes or ports show up in firewall log files.
•
Hoax virus alerts requesting users to forward the message, or messages including steps to remove the virus with the steps doing the actual damage.
•
Rogue antivirus disguises Trojans.
•
Check for compromised CAs.
•
Verify the padlock icon is shown in browsers for secure sites and that the address bar is not maroon, which would indicate an untrusted, insecure site.
•
Check the Junk email folder to ensure legitimate emails are not improperly flagged.
•
Make sure users understand the potential issues in running email file attachments.