我们刚刚发生了第二起Windows XP家庭安全恶意软件(malwarebytes称为Trojan.fakeAlert)的变种。 它设法杀死我们的杀毒软件(32点),然后终止尝试启动任务pipe理器或安装恶意软件。 我已经设法通过以pipe理员身份login进行清除,在启动之前远程删除文件,并获取恶意软件来扫描并删除它。 我的问题涉及预防:
所以我的问题是, FakeAlert是如何工作的? !….在互联网上我什么都没有find,详细解释它是如何进入和执行的,它似乎embedded在网页中,然后自动下载并运行?
我们可以使用malwarebytes来清除它(并且有点愤怒,windows不会阻止这些东西安装控制面板,中断ctrl-alt-del / ctrl-alt-esc等等),但是我们不情愿如果有一个免费的方法来阻止它,但要这样做,我们需要知道它是如何工作的(如果MBAM将在未来保持我们的安全),以获取Malwarebytes站点许可证。
有关我们设置的更多细节,我们的客户端机器是Win XP盒子,连接到win server 2003 AD域
什么东西工作? 你没有提供关于可执行文件的细节,它在哪里find,什么是Malwarebytes所谓的……你是否在一个AD或工作组的托pipe环境?
从给出的信息中唯一可以说的是制定一个阻止未列入白名单的可执行文件的策略。 这可以通过AD或通过插件程序来完成。
您也可以投资于Deep Freeze这样的程序,在重新启动时将计算机恢复为“干净”状态。 但是,这需要监督和pipe理。 如果您使用中央服务器来存储configuration文件,那么这将限制仅感染用户configuration文件的感染。
你是否限制了用户的访问权限? 从Spybot Search和Destroy中运行的系统保护措施是否会提醒用户更改此恶意软件?
你是否运行任何一种代理服务器,可以扫描和阻止网站的可执行文件? 您正在使用的networking浏览器上设置了哪些安全设置? 你用最新的更新IE浏览器? 你有没有尝试过使用替代的网页浏览器,可能没有那么多的易感性? 如果您使用日志logging代理,您甚至可以知道从哪里下载可执行文件。
最重要的是,如果这是一项业务,您浏览非工作相关网站的政策是什么? 你是否正在检查被感染用户的浏览历史?