恶意代码系列三---恶意代码迹象

　　1. 恶意代码的前兆

　　前兆：
　　一个新病毒的警告，表示即将感染系统中的某个软件。

　　应对措施：
　　先确定它是真的病毒还是恶作剧。这可以通过访问反病毒厂商的网站和专门的收集恶作剧邮件信息的网站来确定。如果能确定这是真的病毒，那么检查反病毒软件的特征码是否已升级到最新的版本，如果没有与该病毒匹配的特征码，并且即将到来的病毒的破坏力很大，那么就采用其他的方式阻塞病毒侵入，例如设置邮件服务器和客户端，阻止它们接受具有新病毒邮件特征的邮件，同时还要向反病毒软件厂商通报新病毒。

　　前兆：
　　反病毒软件成功的清除病毒，并将被感染文件隔离。

　　应对措施：
　　确定恶意代码如何进入系统，以及它会利用系统什么漏洞传播。如果这个恶意代码会对主机造成极大的威胁，那么就通过打补丁来修补病毒可利用的漏洞。

　　2. 恶意代码的迹象

　　传播方式：病毒通过邮件感染主机。

　　可能的迹象：

　　● 反病毒软件报警
　　● 收发的邮件数量突然大幅度增加
　　● word，电子表格等的模板发生了变化
　　● 删除，损坏或导致文件无法打开
　　● 桌面上出现不寻常的东西，例如奇怪的消息或图形
　　● 程序启动慢、运行慢、或是根本无法运行
　　● 系统不稳定
　　● 如果病毒获得了管理员级的登录权限,蠕虫通过存在漏洞的服务感染主机
　　● 反病毒软件报警
　　● 针对存在漏洞服务（例如：开放的网络共享，HTTP）的端口扫描和大量的失败连接尝试
　　● 大幅度增加的网络利用率
　　● 程序启动慢、运行慢、或是根本无法运行
　　● 系统不稳定

　　
　　传播方式：如果病毒获得了管理员级的登录权限，非法登录。特洛伊木马感染一台主机，并在其上运行。

　　可能的迹象：

　　● 反病毒软件针对特洛伊木马发出警报
　　● 网络入侵检测系统发现木马客户端的发出的交互信息并提出警报
　　● 防火墙和路由器日志记录有木马所利用的端口的通讯情况信息
　　● 存在本地主机与来历不名的远程终端的网络连接
　　● 不正常的端口开放
　　● 由主机引起的网络拥挤，特别是当该主机与外网主机相连时
　　● 程序启动慢、运行慢、或是根本无法运行
　　● 系统不稳定
　　● 如果木马获得了管理员级的登录权限，非法登录
网站上的恶意移动代码携带病毒，蠕虫或是特洛伊木马感染来访问的主机
　　● 包括前面列出的所有相关类型的恶意代码的迹象
　　● 出现不正常的对话框请求批准做某事
　　● 出现不正常的图象，例如交迭或是一连串相互覆盖的对话框网站上的恶意移动代码利用来访主机存在的漏洞感染主机
　　● 出现不正常的对话框请求批准做某事
　　● 出现不正常的图象，例如交迭或是一连串相互覆盖的对话框
　　● 收发的邮件数量突然大幅度增加
　　● 存在本地主机与来历不名的远程终端的网络连接
　　● 如果移动代码获得了管理员级的登录权限，非法登录

　　用户收到恶作剧邮件
　　● 信笺的来源并不是某权威的电脑安全组织，政府机关或是本单位中相关的人员
　　● 无法连接到发件人地址
　　● 邮件内容语气倾向于引起惶恐
　　● 内容要求或催促收件人迅速转发给别人