企业网络面临的攻击正变得越来越狡猾和诡秘,这些攻击可以躲过传统的防火墙和反病毒技术,对企业网络和数据安全带来了巨大威胁。间谍软件(Spyware)是目前最具威胁性的攻击手法之一。Spyware是一种秘密安装在系统中的软件,它可以监视和记录系统的各项活动,并将收集到的信息通过广播的方式发送给第三方。
对付Spyware,必须使用专用的消除工具。Spyware清除工具是一种可以进行行为判断,并且能够实现自我调节的软件。它们可以对系统实施扫描,查找并清除其中的特洛伊木马、密钥日志程序、拨号程序、Cookie等。
Spyware清除工具在很多方面类似于反病毒软件。它们使用客户机、Spyware清除服务器和管理控制台。由于Spyware每天都会出现新变化,因此厂商提供的Spyware定义自动升级服务就显得十分重要。通过Spyware清除服务器,并且使用一个集中管理的控制面板,人们就可以管理Spyware清除工具的升级活动。
专业的Spyware清除工具厂商通常会提供一个清单,用来提示用户哪些Spyware程序会驻留在主机中,并告诉用户这些Spyware程序的位置和作用。Spyware清除工具依靠并利用这些特征清单来清除Windows注册表中的项目或个别文件,在有些情况下还会删除硬盘上的整个Spyware目录。
在通常情况下,Spyware会在系统中的不同位置安装一个执行文件和其他附属文件。这些文件被称为Spyware痕迹。如果不使用专用的Spyware清除工具,即使主要文件被删除,Spyware仍然可能遗留下一些痕迹。删除Spyware主要文件只能治标,而不可能将问题完全根除。
与病毒不同的是,并非所有的Spyware程序都应该被自动清除。管理员需要根据所使用的程序对特征清单加以定义。例如,RemEye是一种安装在WinVNC服务器上的控制台应用软件,具有一个易于使用的安装程序,并且是一种有效的管理工具。由于该程序在安装时使用缺省口令“abcd”,一些居心不良的人便利用这一点使该程序变成特洛伊木马。此外,许多Spyware的大量片段也与合法应用存在链接关系,而且对于这些应用的正常使用是必不可少的。
先进的Spyware清除工具不仅可以查找Spyware所有相关的痕迹文件,而且还能提供一个全面的Spyware描述数据库。该数据库记录有每种Spyware的详细特征以及威胁水平。不过,网管员要想制定出有效的Spyware清除策略,还需要对数据库进行定期升级,在第一时间获取最新的Spyware特征信息。
在Spyware清除策略建成之后,消除Spyware就变得非常简单。在典型的消除操作中,Spyware清除工具可以利用预先安排好的计划对客户机进行扫描,然后Spyware清除工具能够根据Spyware特征信息找出系统中的Spyware,并对其实施禁用。这样,Spyware就可以被永久清除。
目前,一些Spyware已经具备了反清除能力,如果它受到攻击,这些Spyware就会试图删除Spyware清除应用程序。在有些情况下,一些狡猾的Spyware如果意识到自己已被发现,并且有可能被清除,它们便会自动改名,从一个位置跳到其他位置。
所以,昨天还十分有效的Spyware清除工具到了今天就有可能变得一无是处。对付快速变形的Spyware,最有效的办法就是使用自动升级系统,同时Spyware清除工具在遭遇新型的Spyware时也需要具备自我调节能力。
尽管IT专家采用各种办法来对付Spyware,但这些不受欢迎的程序仍然对用户网络和数据安全构成了巨大威胁。Spyware清除技术可以提高用户对抗入侵的能力,是保护业务正常运转的不可或缺的安全元素。