透過查閱廠商的網路安全資訊中心,你可以找到間諜程式解法(我們推薦組合國際的間諜程式百科全書網站)。偵測間諜程式容易,然而移除間諜程式卻不簡單;靠工具幫忙偵測,可以移除大部分間諜程式。

防毒廠商固然懂得處理受病毒感染的檔案,但是面對IE瀏覽器或即時通訊等其他應用程式環境,卻不見得在行,這時整合多種防護功能的反間諜軟體能發揮較大的作用,協助使用者還原至先前的使用環境。

防諜二部曲-根據風險等級移除
間諜程式需要更大的彈性化自訂管理。處理間諜程式,應考慮企業的政策或商務模型,來決定移除或允許繼續存在,因為自動移除特定間諜程式,可能造成企業更大的困擾,例如無法繼續監控員工的上網行為,為防毒廠商帶來法律風險。因此反間諜軟體允許企業或個人根據管理政策或偏好,決定移除、列入允許清單或只是發出警告。

風險程度是評估間諜程式危害較理想的方式。許多反間諜軟體早已具備,微軟AntiSpyware在操作介面的掃描結果,即顯示攔截的間諜程式威脅程度,而Ad-Aware將掃描結果分類,凸顯立即處理的重大威脅。整合間諜程式防護的防毒軟體,介面上只能顯示處理動作與偵測類型。

防毒或反間諜軟體廠商皆需明定安全風險等級定義。以賽門鐵克為例,他們依照目前網路安全風險的形態,設計出一套風險衝擊模型,可根據「效能衝擊」、「隱私影響」、「移除容易性」及「隱密性」等因素,分析這些威脅的狀態,並根據應用程式的行為來決定風險分數,風險分析評估的結果能協助使用者決定移除或採取其他動作。賽門鐵克亞太區技術顧問林育民說:自動移除不是每次都適用,系統檔案的相依性問題即首當其衝。有些廣告程式或間諜程式直接呼叫現成的系統元件,同時包裝在程式設定內,冒然刪除間諜程式的元件,可能造成系統無法正常執行。當遇上與程式可用性相衝突時,企業可以根據防毒廠商對間諜程式的4種分析指標得出的評估分數,好好想一想孰重孰輕。

反間諜軟體與防毒軟體的處理方式
毋庸置疑,反間諜軟體具有最佳的移除能力,而移除精準度是評估反間諜軟體的重要因素,不能破壞基本的應用程式或作業系統運作,這要透過詳盡的間諜程式定義檔與主動式的系統檔案防護,協助善後。

過去防毒軟體能發現間諜程式,卻無法移除與隔離,是因為原檔還在執行、不容刪除,必須停止相關處理程序才能手動移除,十分煩瑣。現在反間諜軟體和防毒軟體能自動關閉執行中的間諜程式,然後予以刪除。

間諜程式定義檔像病毒定義檔一樣需要時常更新,目前的入侵偵測/防禦系統處理未知間諜程式的能力有限,誤報率偏高,因此仍須依賴定義檔。有些防毒軟體整合IDS,假如間諜程式企圖藉由系統漏洞植入時,根據特徵碼比對,從整合防毒、個人防火牆和入侵偵測的防護,達到全面、主動式的防禦,這是反間諜軟體不及之處。

反間諜軟體與防毒軟體都傾向以一套間諜程式定義檔為主,也有防毒廠商採用擴充資料庫方式,補強先前只能解決惡意程式,卻無法處理所有間諜程式的窘境,McAfee的反間諜軟體模組就是一例,不過需付費選購。

假如使用者遇到間諜程式移除不乾淨的,客戶也能利用提交病毒的類似方式,將樣本提供給防毒廠商,他們就會根據分析結果改進間諜程式定義檔,等到下次偵測時,程式就可以清除掉殘留的檔案。

防毒軟體通常直接清除木馬、後門程式,但對於間諜程式還是會先詢問使用者意願,因為這些可能是目前正在執行的程式,應警告使用者目前執行的軟體帶有廣告程式、惡意程式等危險程式,詢問是否移除,當使用者確定不要,就可以堂而皇之解除不需要的程式。

善用隔離的彈性,確保系統穩定
移除大多數的間諜程式,目前在檔案相依性上沒有太多牽扯,移除與IE相關的間諜程式,系統幾乎不受影響,只要防護間諜程式的產品廠商對IE夠了解就沒太大問題。

假如擔憂移除間諜程式會導致部份應用程式受損無法執行,使用者或管理設定人員可以將這些可疑的檔案隔離起來,等到使用過一段時間,確認對系統沒有影響時,再逕行刪除。文⊙李宗翰


Advertisement

更多 iThome相關內容