我们刚刚第二次爆发了 Windows XP 家庭安全恶意软件变种(malwarebytes 称之为 Trojan.fakeAlert)。它设法杀死我们的防病毒软件(nod 32),然后阻止启动任务管理器或安装 malwarebytes 的尝试。我设法通过以管理员身份登录、在文件启动前远程删除文件并让 malwarebytes 扫描并删除它来清除它。我的问题与预防有关:
我的问题是,FakeAlert 如何工作?!......我在互联网上找不到任何内容详细解释它是如何进入和执行的,它似乎嵌入在网页中,然后自动下载并运行?
我们可以使用 malwarebytes 清除它(并且对 Windows 无法阻止这些东西安装控制面板、中断 ctrl-alt-del/ctrl-alt-esc 等等感到非常愤怒),但如果有免费的阻止方法,我们不愿意花钱购买 Malwarebytes 站点许可证,但要做到这一点,我们需要知道它是如何工作的(以及 MBam 是否会在未来保护我们免受这种侵害)
有关我们设置的更多详细信息,我们的客户端计算机是 Win XP 机器,连接到 Win Server 2003 AD 域
答案1
什么东西起作用了?你没有提供可执行文件的详细信息,比如它在哪里找到,Malwarebytes 怎么称呼它?……你是在具有 AD 或工作组的托管环境中吗?
根据提供的信息,我唯一能说的是制定一项阻止未列入白名单的可执行文件的政策。这可以通过 AD 或附加程序来实现。
您还可以投资像 Deep Freeze 这样的程序,它可以在计算机重启时将其恢复到“干净”状态。不过,这需要监督和管理。如果您使用中央服务器来存储配置文件,这将仅将感染限制在用户的配置文件中。
您是否限制了用户的访问权限?运行 Spybot Search and Destroy 之类的系统保护程序是否会提醒您的用户注意此恶意软件造成的变化?
您是否运行了某种可以扫描和阻止网站上可执行文件的代理服务器?您使用的 Web 浏览器的安全设置是什么?您是否使用最新更新的 IE?您是否尝试过使用其他可能不那么敏感的 Web 浏览器?如果您使用日志代理,您甚至可以知道可执行文件是从哪里下载的。
除此之外,如果这是一家企业,你们对浏览与工作无关的网站有什么政策?你们会检查被感染用户的浏览历史记录吗?