處理間諜程式,首先應該要先確定目前電腦遭到間諜程式潛伏的狀況。在個人端或家用電腦上,我們固然可以安裝知名品牌的單機反間諜軟體,掃描本機電腦;在企業端為數眾多的員工電腦,要快速大量部署這些軟體,恐怕會造成一些問題,因此可能需要其他迂迴的方式調查間諜程式的分布,從分析異常網路流量的原因,進而定位到可疑的電腦,會是一個比較可行的方式。

防諜首部曲-從網路流量觀察危害
如果你懷疑公司的員工電腦已經遭到間諜程式植入,例如經常接到他們抱怨電腦或網路突然變慢、或是有廣告視窗阻礙操作,我們可以透過一些企業解決方案來監控間諜程式活動,以Websense為例,它可以監視網路進出的流量,藉由系統產生的報表,管理者可以發現間諜程式感染程度較嚴重的電腦,再到該部電腦利用反間諜軟體掃描即可。

如果只是想單純偵測,不想節外生枝,組合國際和Webroot網站均提供免費線上掃描服務,可分析目前的威脅等級,但無移除功能,同時也不能設定掃描位置,如需清除,需仰賴專用的移除工具或透過反間諜軟體處理。

達友科技資訊安全顧問林皇興表示,95%的間諜程式都是以HTTP Tunnel方式傳訊到網路,有些透過443埠或IRC、即時通訊,一般防火牆無法看出端倪,因為無法監控到應用層(第7層),無法辨識連線的應用程式與傳輸內容,即使防火牆有大量記錄檔,透過報表工具分析出來的結果,只能獲得一些與主機連線、IP等資訊,很難判斷是否為間諜程式行為。某些入侵防禦系統含有間諜程式資料庫,能協助進一步辨識網路流量。

閘道端網址分類庫能協助偵測
惡意網站是散播間諜程式的主要管道,有些具有網址過濾的閘道端防禦解決方案能涵蓋間諜程式網站,Websense的網址分類庫即包含有害網站處理,安全加值組可再提供惡意、釣魚和詐欺、鍵盤側錄、駭客軟體(即間諜程式)等4類網站。

8e6 R3000的網址分類庫也包含與間諜程式相關的可疑網址,同時能辨識利用即時通訊與P2P通訊弱點連外的間諜程式,假如連線被引導至已知的間諜程式來源,R3000會自動在個人端跳出阻擋的警告頁面,並送出TCP Reset命令取消連線,防止機密或隱私資料外洩。

反間諜軟體偵測最周全
即使你是技術高手,也無法從間諜程式倖免,資安專家大多建議從專屬工具下手,免費的Lavasoft Ad-Aware SE Personal和微軟AntiSpyware都頗受好評。如需更強大的功能,你在臺灣可以透過廠商購買Ad-Aware、Webroot SpySweeper、CA eTrust PestPatrol Anti-Spyware。

反間諜軟體生來就是專門用來對付間諜程式的剋星,可以專心處理各種相關的間諜程式威脅,如同防毒軟體,可提供定期的掃描檔案/資料夾、系統登錄檔、記憶體等,及常駐記憶體的即時掃描。完成掃描後,反間諜軟體會分析攔截到的間諜程式風險等級,或提供線上間諜程式百科全書相關訊息的連結,以協助使用者決定是否移除。

進階的系統與網頁瀏覽器設定還原或保護工具,也是反間諜軟體的特色之一,對付首頁綁架、篡改搜尋引擎與我的最愛等瀏覽器設定。反間諜軟體還能檢視目前IE外掛元件與處理程序狀態,以便及早發現異常。

防毒整合反間諜軟體,提升偵測能力
間諜程式除了洩密、妨礙操作外,有些已經懂得結合病毒大量擴散、自我複製的特性,擴大影響層面,因此今年新版防毒,無不戮力整合更多反間諜軟體勢力。

McAfee率先針對企業版防毒推出反間諜軟體的選購擴充模組,趨勢在OfficeScan 7.0首度推出針對企業環境的反間諜軟體強化處理能力,而賽門鐵克Antivirus 10.0和Client Security 3.0也包含更完整的間諜程式偵測與移除處理能力。

Sophos和Kaspersky持不同看法。他們目前只處理惡意的間諜程式,不阻擋廣告程式。但即使Kaspersky不認同特別處理間諜程式的做法,他們仍決定從善如流,下一代防毒介面仍會提供防護間諜程式的選項。文⊙李宗翰


Advertisement

更多 iThome相關內容