Rootkit
一些恶意软件比其他更具威胁。目前排在Sophos最危险名单前列的是rootkit的使用,僵尸的蔓延和一直挥之不去的垃圾邮件威胁。
rootkit是一些在系统中用来隐藏其他进程或文件的软件,所以rootkit和恶意代码没有出现在进程列表中。前不久Sony BMG唱片公司偷偷以数字版权管理机制(digital rights management)为媒介,将 Rootkit木马程序植入使用者计算机中引起了人们极大的愤怒,这也进一步强调了安全企业在不断增加的威胁出现时应该做什么。
如果计算机随着时间越来越慢,或者如果硬盘上的空间变得越来越小,公司可能怀疑某台机器被安装了rootkit。检测是否存在rootkit的一个方法是观察哪些端口被用来传输数据包,特别是如果打开的端口和一个特定的安全漏洞联系在一起。
该问题的另一个解决方案是安装软件工具以截获并显示进出PC的数据包的内容。通过监控这个数据流,可能能够确定是否有非法邮件被发送。
僵尸网络
数量不断增长的僵尸网络也是一个严重的问题,PC很容易被黑客劫持并且被用在发送垃圾邮件或拒绝服务攻击当中。用户经常被诱骗安装了将其PC控制权交给黑客的代码,这并非通过狡猾的软件而是通过所谓的“社会工程”来完成的。
Svajcer说,“我们看到过声称来自微软技术支持,包含同样的图形和字体的社会工程电子邮件,声称包含一个补丁。当这个文件被打开,它包含的.exe文件执行代码会以类似Mspg.32.exe这样的名称将自己复制到某个系统文件夹,由于许多合法的文件都有类似的名称,这给发现它们带来困难”。
恶意的可执行代码使得计算机被远程控制。控制这些僵尸的人通常建立一个只有他们知道的登录方式。这增加了僵尸的专用性并且保护它不被任何其他黑客劫持。
共享信息
由于在现实中流通着大量的恶意软件,多数安全公司制定了相互合作的策略。Sohpos和F-Secure,McAfee以及Symantec这样的公司相互共享最新安全威胁的信息。最新被识别出的病毒通过使用PGP加密,有时甚至通过CD发送进行交换。
客户也发送信息,如潜在的恶意代码,或有时是他们在病毒交换Web站点上发现的代码。一些恶意代码甚至直接是其作者发送而来。这样的例子是 Phage,在2000年九月第一个被发送给Sophos和其他反病毒供应商的Palm特洛伊木马。该病毒未被扩散,因为其作者公布了代码,目的是使自己声名远扬。
病毒编写者
其他病毒编写者在编写过程中发送其作品,希望有关其病毒的警告会出现在反病毒供应商的站点上。未完成的恶意软件通常有错误,而编写者们希望安全公司的警告会有助于他们完成自己的软件。
和技术层面的恶意软件不同,应对垃圾邮件仍是Sophos重要的一项工作。公司垃圾邮件处理小组的11位成员专职分析并观察垃圾邮件趋向。自发的邮件和从与反病毒密罐工作原理类似的垃圾邮件陷阱中被提取出来的邮件,均被定义为垃圾邮件。
垃圾邮件研究分析师Paul Baccas说,“我们从密罐中收到的所有邮件都是不合法的。所有包含一个大附件的邮件将由反病毒人员进行分析,因为恶意软件时常以垃圾邮件的形式传播”。Sophos使用的密罐都是和ISP协商后重新指定的不合法IP地址。
阻拦垃圾邮件
反垃圾邮件软件自动过滤Sophos收到的95%的垃圾邮件。其余的5%被各种规则自动引导,这些规则考虑是否垃圾邮件来自于一个已知的垃圾邮件回复,是否它包含高百分比的HTML以及是否有可识别的文本字符串。
在自动过滤之后大约剩下0.05%的垃圾邮件。这时分析师插手进来以确定其特征并且希望得出一个阻拦它的方法。Sophos寻找的一个特征是段落印迹。每个垃圾邮件都具有一个特定的段落中断,垃圾邮件以此为特征并且使得Sophos能够识别它并编写一条规则阻拦它。规则不断更新,来逐步降低垃圾邮件的活跃性。
