病毒探测程序,即反病毒程序(Anti-virusProgram),能帮助探测已知的病毒,从驱动器中将其清除而不造成任何损害等。一般反病毒程序的标准功能如下:防止检测到的病毒的扩散;清除识别出的病毒;修复被感染的文件(如果可能修复的话)。
反病毒程序的问题之一是,它们只能搜索已知的病毒。因为新病毒在不断被制造出来,所以我们无法完全肯定所有的病毒都被探测出来了。防病毒软件的另一种措施是监测并报告所有改动任何带有可执行扩展名文件(如“.exe”)的企图。检测藏在电子邮件中的病毒要更困难,因为大多数电子邮件程序都不搜索病毒。但电子邮件程序的厂商已开始着手对付电子邮件中的宏病毒问题。新版本的软件已能帮助使用者保护自己免受宏病毒之害,使用这种软件时,如果一个包含宏的文件要求被打开,该软件能向使用者发出警告。如果使用者有疑虑,他就可以不打开这个文件,这样,文件中所带的宏病毒就没有机会执行,也就不能造成危害。
计算机内经常隐藏着发生病毒的危险性。但是,发病根源不是冒充和不正当访问等外来不正当操作,而是随意的文件启封就会成为病毒感染的触发器,可以说对员工进行相应的教育和管理就会抑制和防止病毒发生,在这里让我们看一下病毒统一管理对策。
很多时候,我们是不需要防病毒软件的。这句话出自世界著名的反病毒厂家McAfee的反病毒紧急响应小组资深研究总监VincentGullotto先生之口。
对于企业而言,首要的任务是制定防病毒策略。例如:明确规定哪种文件可以运行,哪种文件不可以运行,基于这个基础就可以在一定程度上克制很多种病毒。
以宏病毒为例,目前全球大约有6万多种病毒,其中30%是宏病毒。这是一种利用微软Word软件中的宏功能而产生的病毒。据了解,在使用Word软件的用户中,80%的用户不知道什么是宏,也用不到宏的功能,对于这样的用户而言,经过一些简单的设置就可以抵御宏病毒。此外,用户保存文档的时候,也不需要都保存为.doc的格式,可以保存为.rtf格式,由于.rtf不支持宏,因此就不会传播宏病毒了。也就是说,对于企业而言最为重要的是制定相关的防病毒策略,而不是把防病毒的重任完全托付给防病毒软件。对此,Vincent有一个形象的比喻:完全依赖于防病毒软件,就像驾驶汽车时将生命完全托付给汽车的安全带,这显然是不行的。
但是,话又说回来,不系安全带肯定是不行的。制定正确的防病毒策略,辅助以防病毒厂商的产品和咨询服务,经常向有经验的用户寻求对策等等都是行之有效的对付病毒***的办法。这样做,暂时的花费也许很高,但从长远发展角度来考虑,投资是绝对必要的。
如果出现下列症状可以怀疑已被病毒感染。通常与硬件和软件的故障类似,也许可能已经传染给了别的机器:系统的启动与平时不同,需要时间;系统无法启动;异常message被显示;画面显示不正;系统挂起;发生无意中的访问磁盘;文件被消除或被破坏。
当发现计算机出现这些症状时,就必须实施病毒扫描(VirusScanning),确认病毒是否存在、严格执行消灭病毒。
计算机病毒种类丰富,大体上划分为宏病毒(Macro)、系统领域感染型、文件感染型、特洛伊***型、蠕虫(Worm)型、直接感染型、内存常驻型、复合感染型、网络型、Java型、ActiveX型(包括复合型)等等。
最容易遇到的宏(Macro)病毒(代表性的有Laroux,Wazzu,Concept,Melissa)是利用Microsoft的Word和Excel的Macro功能来传染。Macro病毒之前的病毒需要以高级程序设计语言的记述,但只要能写VisualBasic语言的人员就会容易制作宏病毒,而且如果掌握宏语言也能简单地改造。由于开发程度的简单性、电子邮件的普及性等种种原因,该病毒的危害正在急剧扩大。例如:使用广泛普及的Microsoft的电子邮件软件“OutlookExpress”的发信功能的Melissa和ILOVEYOU(爱情软件)病毒,它们的传染机制就是把自身的拷贝自动大量地传送给“OutlookExpress”的地址簿内记载的邮件地址。
病毒的感染途径有电子邮件、附加文件、软盘和CD-ROM、文件下载、来自公司局域网文件服务器的下载、公司内邮件和共享文件等。据报道目前80%的感染途径被认为是从世界各地发来的电子邮件上附着的病毒。特洛伊***病毒还经常被利用作为控制服务器成为非法***的跳台的工具。病毒可以说是企业目前面临的最大的安全问题,它可能导致的损失可以举出:①系统恢复原状需要数日至1周时间,其间业务停止的损失;②重要信息文件丢失、损坏,计算机系统遭到破坏的损失;③染毒企业成为散布病毒的加害者,导致公司对外信用下降;④因遇到新式病毒导致数据泄露(例如通过改写Java脚本程序,窃取用户的ID,口令的犯罪手法)。
采用防病毒软件之后,应该注意经常更新,使式样文件、检索引擎保持最新状态。尽量避免使用单机版软件,而采用网关型能够对客户端进行集中管理的企业版防病毒软件。
不要过于相信病毒软件的自动更新,随时掌握其运转状况。虽然最近的病毒软件的更新过程可以做到完全自动化,然而实际上由于客户端电脑上的原有的其他防病毒软件、网络状况、系统环境的原因,实际使用当中总会有若干台客户端设备不能及时更新的情况发生。
随时注意获取最新的病毒信息、及时升级及进行杀毒测验确认。虽然现在反病毒厂商的快速反应能力得到很大提高,可以在24小时以内就能完成杀毒程序、样本(Pattern)文件的更新也可以达到每一小时更新最新信息的功能。然而只满足于购买了防病毒软件是远远不够的,因为防病毒软件的配置错误经常会出现,所以在软件装机时,利用测试病毒来核查系统的查毒功能。管理人员还应该经常注意搜集最新的病毒信息,并利用测试用病毒来监测软件升级、查毒功能的效果.
对全体用户提供最新病毒信息,并开展定期性的安全教育活动也是非常重要的。在给信息系统的用户提供病毒信息的同时,也要进行如何处理怀疑携带病毒的电子邮件的处理方法等教育。同时,还要通过免费下载而引起的损失、利用以前使用过的软盘时发生的感染等案例,提高用户自觉防范病毒的意识,让每个用户充分了解自身的责任和彻底贯彻防病毒安全策略。
企业网络利用越是扩大,越应该彻底执行这样的对策,但是实际上保证和安排病毒对策专家很困难。在国外逐渐出现了一些病毒管理外包服务的专业安全公司。
通常这些公司会有日常性的病毒对策的专门体制,对客户承诺快速反应、低成本、损失时的补偿措施等,因此对客户有很大的吸引力。病毒管理的服务一般采取监视中心集中远程监视的方法,监视中心一年365天每天24小时实时监视企业的病毒发生状况和式样文件的更新状况,当发现病毒时向系统管理者作出适当的对策指示。根据病毒对策诊断,提出有效建议。万一被病毒感染,并且即使数据和程序遭到破坏或者消失,提供相应的商业保险以弥补企业在数据修复和重新制作的费用。