如何檢測和預防惡意軟件The Mask?
責編:admin |2014-09-09 16:06:25您能告訴我更多關于The Mask的信息嗎?這個被有些人吹捧為“世界上最先進的惡意軟件”到底是怎樣的?對于一般企業來說,這種惡意軟件的威脅到底有多大,什么樣的防御會有效呢?
Nick Lewis:The Mask(又名Careto)目前可能是公開已知的惡意軟件中最先進的一種,但是它無疑會被未來出現的惡意軟件所超越。然而,The Mask的確成功整合了多種前沿的攻擊技術。與此同時,The Mask似乎還應用了一些非常好的編程,例如它在設計中結合了模塊化發展,允許模塊被更新,還可以在它已滲透的系統中部署新的模塊,這可以很好地幫助隱藏惡意軟件。一旦惡意軟件開發人員知道反惡意軟件工具檢測到某些特定組件,他們就可以部署一個升級版的模塊來替代被偵測到的模塊。The Mask還可以在被入侵系統中使反惡意軟件失效,通過阻止反惡意軟件掃描惡意文件或直接在入侵系統中禁止反惡意軟件工具運行。
對于大多數企業來說,好消息是The Mask是具有針對性的攻擊,目前似乎受害企業不到400個,感染的IP地址不到1000個。目前受感染的企業具體名稱還沒有公布,而受感染的國家和行業名稱已經公布了。同時,The Mask還用一些舊的惡意軟件來攻擊系統,所以在終端運行最新版本的反惡意軟件工具可能可以潛在地阻止攻擊。
一項研究得出了一些判斷系統被The Mask入侵的暗示,這些暗示包括可以用來檢測你的系統是否被惡意軟件感染的特定的IP地址、域名系統名稱和文件名稱。看起來The Mask似乎試圖通過在終端尋找文件類型來收集敏感數據,所以監控本地系統時以更多的可疑文件系統活動作為監控基礎,使用更完整的文件監控,也能得到一些可以用來進行調查的有用信息。