Aggiornamento delle capacità di pulizia del malware


11

Ho visto alcuni siti che offrono "Malware University", corsi di formazione per sbarazzarsi del malware. Pensi che di tanto in tanto sia necessario aggiornare le tue abilità di rimozione di malware (o arsenale)? Come si diventa più efficaci nel gestire questa minaccia crescente, molto complicata?

Risposte:


32

Non "ripulisci il malware". Livelli le macchine e ricomincia. Niente di meno è un disservizio per il tuo cliente e chiedere problemi.

Per quanto riguarda la "minaccia", non si consente agli utenti di funzionare con account a livello di amministratore (su Windows) e non si installa software non attendibile (per quanto possibile). Mi sembra abbastanza semplice. Io e i miei clienti non abbiamo problemi con software dannoso.


11
Downvotes, eh? Vai avanti-- votami. Ho ancora ragione. smile "Pulizia malware" è Bush League. Dopo che una terza parte malvagia ha attaccato il tuo computer, mantenere un sistema operativo non affidabile e software applicativo è una cattiva idea.
Evan Anderson,

4
+1 per dirlo direttamente. Penso che sia bello capire come funziona il malware, quindi potrebbe valere la pena fare un addestramento affidabile da Mark Russinovich o SANS.
Ben Dunlap,

1
Quindi, come si definisce il malware? Stai davvero sostenendo di reinstallare il sistema operativo perché hai qualcosa di innocuo come questo? viruslist.com/en/viruses/encyclopedia?virusid=18321 Posso capire la reinstallazione se hai contratto alcuni dei malware più nefasti .....
Josh Brower,

2
Sto sostenendo il livellamento del sistema operativo e il ripristino solo dei file di dati dal backup se ti preoccupi della riservatezza, integrità e disponibilità dei dati gestiti da un computer che ha eseguito codice di terze parti dannoso. Se un autore di malware deve solo rendere il proprio software esteriore apparentemente semplicistico per farti credere che la macchina sia "pulita" dopo aver armeggiato con esso, è quello che faranno gli autori di malware.
Evan Anderson,

1
+1 per imparato nel modo più duro.
cop1152,

6

Al di là delle pratiche sysadmin di non consentire agli utenti di eseguire account a livello di amministratore e così via, molte responsabilità ricade su di te per rimanere aggiornato sulle minacce in natura. Leggi gli avvisi che pop-up quando viene trovata una nuova minaccia. Avere una politica di aggiornamento per il tuo software.

Nulla può distruggere la sicurezza più velocemente di un determinato utente, quindi informali sui pericoli di fare clic su collegamenti casuali nell'e-mail o sull'installazione di applicazioni a meno che non siano sicuri della fonte (ecc.), Assicurandoti di dire che questo è per la sicurezza della rete e dei loro computer di casa.

Se rimani aggiornato sulle novità e mantieni informati i tuoi utenti, riduci drasticamente la tua esposizione.


5

Per quanto riguarda "formazione sul malware", il nome da solo è un po 'troppo "marketing" per ispirare molta fiducia. Forse sono troppo scettico, ma sento che eventuali "argomenti malware" specifici saranno obsoleti prima che la lezione sia in sessione.

Certo, si applicano alcune abilità di base, ma se un amministratore (o la tecnologia di supporto) non conosce già quelle cose, preferirei formattare la macchina (per i motivi che Evan Anderson ha sottolineato) invece di rischiare sulle loro abilità di pulizia .


4

Autoruns ed Process Explorer di Sysinternals (ora di proprietà di MS) sono i tuoi migliori amici. Le 1-2 infezioni che vedo una settimana in cui un utente ha aperto un allegato o visitato una pagina che non dovrebbe avere e che l'AV (aggiornato!) Non lo ha completamente bloccato, in genere possono essere ripulite in 30m-1h di sforzo con solo queste due utility. Sono piuttosto semplici e, dopo le prime pulizie, avrai un talento per sapere cosa deve essere ucciso / rimosso per sbarazzarsi del malware.

Detto questo, ogni tanto ti imbatterai in un pezzetto di malware che non è stato scritto da un idiota, quindi se non riesci a fare alcun progresso dopo 30 minuti, è tempo di cancellare / ricaricare completamente.

Tieni presente che ciò è più appropriato per le PMI in cui l'hardware non è standardizzato. Se si dispone di un'immagine di sistema e si esegue il backup dei file dell'utente, sarà più rapido cancellare / ricaricare al primo segno di infezione.


Mi considero abbastanza competente con procexp e autoruns. L'ultima volta che ho usato questi strumenti per rimuovere un virus, tutto sembrava perfettamente pulito, ma si è scoperto che il computer stava ancora trasmettendo messaggi di spam - abbastanza per far sì che il nostro IP fosse inserito in diverse liste nere SMTP. L'unico modo per essere sicuri di una scatola pulita è ricostruire.
Nic,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.