防恶意软件
防恶意软件模块针对基于文件的威胁(包括常称为恶意软件、病毒、特洛伊木马以及间谍软件的威胁)同时提供实时保护和按需保护。为识别威胁,防恶意软件会使用综合的威胁数据库对文件进行检查,该数据库的部分文件托管在服务器上或本地保存为可更新的特征码。防恶意软件还检查文件是否有某些特征,如压缩和已知的入侵代码。
为解决威胁,防恶意软件 会选择性地执行操作来包含和移除威胁,同时最大程度地降低对系统的影响。防恶意软件可以清除、删除或隔离恶意文件。它还可以终止进程并删除与已识别威胁关联的其他系统对象。
恶意软件类型:
防恶意软件针对基于文件的所有威胁类型提供保护,包括以下几种类型。
病毒(文件感染源)
病毒可以通过插入恶意代码感染正常文件。通常,只要打开受感染的文件,恶意代码就会自动运行,除了感染其他文件外,还会传送有效载荷。以下是一些比较常见的病毒类型:
- COM 和 EXE 感染源感染扩展名通常为 COM 和 EXE 的 DOS 和 Windows 可执行文件。
- 宏病毒通过插入恶意宏感染 Microsoft Office 文件。
- 引导扇区病毒感染包含操作系统启动指令的硬盘驱动器部分。
防恶意软件使用不同技术识别和清除受感染文件。最传统的方法是检测用来感染文件的实际恶意代码,并从受感染的文件中剥离此代码。其他方法包括监管对易受感染文件所做的更改,或者只要对这些文件应用可疑修改,就必须备份此类文件。
特洛伊木马和其他非感染源
非感染源是指无法感染其他文件的恶意软件文件。此类感染源数量众多,包括以下几种恶意软件类型:
- 特洛伊木马:不感染可执行文件的恶意软件文件,没有后门程序或蠕虫病毒功能。
- 后门程序:恶意应用程序,允许未授权的远程用户访问受感染的系统。后门程序通过打开的端口连接到通信服务器。
- 蠕虫病毒:恶意软件程序,可以在系统之间传播,通常称为“蠕虫病毒”。蠕虫病毒利用社会工程学,通过包装精美的电子邮件、即时消息或共享文件进行传播。它们还可以复制自身到可访问的网络共享中,然后通过利用漏洞传播到其他计算机。
- 网络病毒:属于蠕虫病毒,但其程序仅限于内存或数据包(不基于文件)。防恶意软件无法检测或移除网络病毒。
- Rootkit:基于文件的恶意软件,控制对操作系统组件的调用。应用程序(包括监控和安全软件)需要进行此类调用以执行较基本的功能,例如列出文件或标识正在运行的进程。通过控制这些调用,rootkit 可以隐藏自身或隐藏其他恶意软件。
间谍软件/灰色软件
间谍软件/灰色软件包含可收集要传送给单独系统或由其他应用程序收集的信息的应用程序和软件。间谍软件/灰色软件检测(尽管会展示潜在的恶意行为)可能包含用于合法目的(例如远程监控)的应用程序。间谍软件/灰色软件应用程序本质上是恶意软件,包括那些通过已知恶意软件渠道分发的恶意软件在内,通常都会被检测为其他特洛伊木马。
间谍软件/灰色软件应用程序通常归为以下几类:
- 间谍软件:安装在计算机上的软件,用于收集和传输个人信息。
- 拨号程序:恶意拨号程序旨在通过昂贵的付费号码进行连接,从而导致意外费用。一些拨号程序还传输个人信息并下载恶意软件。
- 黑客工具:程序或程序集,设计用于在未获授权的情况下访问计算机系统。
- 广告程序(支持广告的软件):可以自动播放、显示或下载广告材料的任何软件包。
- Cookie:Web 浏览器存储的文本文件。Cookie 包含与 Web 站点相关的数据,例如身份验证信息和站点首选项。Cookie 不是可执行文件,因此不受感染;但它们可以用作间谍软件。即使是从合法 Web 站点发送的 Cookie 也可用于恶意目的。
- 按键记录软件:记录用户键盘输入以窃取密码和其他私人信息的软件。一些按键记录软件可将日志传送至远程系统。
什么是灰色软件?
尽管一些类似于间谍软件的应用程序会呈现入侵性行为,但它们仍被视为是合法的。例如,一些具有商业用途的远程控制和监控应用程序可以跟踪和收集系统事件,然后将关于这些事件的信息发送到另一个系统中。系统管理员和其他用户可能会发现自己安装了这些合法应用程序。这些应用程序就称为“灰色软件”。
要针对灰色软件的非法使用提供保护,防恶意软件可以检测灰色软件,但需要提供一个选项以“批准”已检测的应用程序并允许运行这些应用程序。
加壳软件
加壳软件是压缩和/或加密后的可执行程序。为避开检测,恶意软件作者通常打包经多层压缩和加密的现有恶意软件。<恶意软件保护> 检查可执行文件是否存在与恶意软件关联的压缩特征码。
可能的恶意软件
检测为可能的恶意软件的文件通常是未知的恶意软件组件。缺省情况下,将记录下这些检测,并且文件将匿名发送回趋势科技,供分析使用。
其他威胁
“其他威胁”包括未归类为任何恶意软件类型的恶意软件。该类别包括显示错误通知或操控屏幕行为但通常无害的恶作剧程序。
恶意软件扫描类型
Vulnerability Protection 趋势科技服务器深度安全防护系统执行三种恶意软件扫描:
- 完整扫描
- 快速扫描
- 实时扫描
完整扫描会对计算机上的所有进程和文件执行完整系统扫描。可通过专门或手动(按需)创建预设任务在预设时间运行完整扫描。
快速扫描仅扫描计算机重要系统区域中当前活动的威胁。快速扫描将查找当前活动的恶意软件,但它不会执行深度文件扫描来查找处于休眠状态或已存储的受感染文件。在较大的驱动器中,它的速度明显快于完整扫描。快速扫描仅按需提供。无法作为预设任务的一部分预设快速扫描。
实时扫描是对正在运行的进程和 I/O 事件的持续监控。
基本配置
在计算机上启用防恶意软件功能:
- 在策略/计算机编辑器中,转至防恶意软件 > 常规。
- 在防恶意软件部分中,将配置设置为打开(或者已继承 (打开)),然后单击保存。
- 在实时扫描、手动扫描或预设扫描部分中,设置恶意软件扫描配置和时间表,或允许从父策略继承这些设置。
- 单击保存。
高级配置
修改恶意软件扫描配置
可通过编辑计算机上生效的恶意软件扫描配置控制恶意软件扫描范围。恶意软件扫描配置确定扫描过程中要包括和排除的文件和目录,以及如果在计算机上检测出恶意软件时应采取的操作(例如清除、隔离或删除)。有以下两种类型的恶意软件扫描配置:
- 手动/预设扫描配置
- 实时扫描配置
手动扫描配置或预设扫描配置适用于完整扫描。实时扫描配置适用于实时扫描。
对于每种扫描类型,Vulnerability Protection 趋势科技服务器深度安全防护系统均自带了预配置的缺省恶意软件扫描配置。这些缺省的恶意软件扫描配置用在 Vulnerability Protection 趋势科技服务器深度安全防护系统预配置的安全策略中。
更改恶意软件扫描配置:
- 在 策略页面上,转至通用对象 > 其他 > 恶意软件扫描配置。
- 编辑现有的恶意软件扫描配置或创建新的恶意软件扫描配置。有关详细信息,请参阅趋势科技服务器深度安全防护系统管理中心帮助中的“恶意软件扫描配置”。
下表列出了每种类型的扫描过程中扫描出的对象,并按照其被扫描到的顺序进行排列。
| 目标 | 完整扫描 | 快速扫描 |
| 驱动程序 | 1 | 1 |
| 特洛伊木马 | 2 | 2 |
| 进程镜像 | 3 | 3 |
| 内存 | 4 | 4 |
| 引导扇区 | 5 | - |
| 文件 | 6 | 5 |
| 间谍软件 | 7 | 6 |
云安全扫描
云安全扫描引用了趋势科技服务器中存储的威胁签名。启用云安全扫描后,Vulnerability Protection 趋势科技服务器深度安全防护系统将首先在本地扫描安全风险。如果在扫描过程中,Vulnerability Protection 趋势科技服务器深度安全防护系统无法评估文件的风险,请尝试连接至本地云安全服务器。如果未检测到本地云安全服务器,它们将尝试连接至趋势科技 Internet 云安全服务器。
云安全扫描提供了以下功能和好处:
- 减少了针对新出现的威胁提供防护的总体时间
- 减少了特征码更新期间占用的网络带宽。大部分特征码定义更新仅需发送到云,而无需发送到多个计算机
- 减少了与公司范围内的特征码部署相关的成本和开销
- 减少了计算机上的内核内存占用。随着时间的推移占用的增加量达到最低
- 在云中提供快速实时的安全状态查找功能
要打开或关闭云安全扫描,请转至策略/计算机编辑器 > 防恶意软件 > 云安全智能防护。
NSX 安全标记
一旦检测到恶意威胁,趋势科技服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM。NSX 安全标记可与 NSX Service Composer 一起使用,以自动执行某些任务,例如隔离受感染的 VM。有关 NSX 安全标记和动态 NSX 安全组分配的更多信息,请查看您的 VMware NSX 文档。
可以配置防恶意软件和入侵防御系统防护模块以应用 NSX 安全标记。
要配置防恶意软件模块以应用 NSX 安全标记,请转至计算机/策略编辑器 > 防恶意软件 > 高级 > NSX 安全标记。
您可以选择仅在防恶意软件引擎尝试的阻止操作不成功时才应用 NSX 安全标记。(阻止操作由生效的恶意软件扫描配置决定。要查看生效的恶意软件扫描配置,请转至计算机/策略编辑器 > 防恶意软件 > 常规选项卡,然后检查实时扫描、手动扫描和预设扫描区域。)
您也可以选择在后续恶意软件扫描未检测到任何恶意软件时,移除安全标记。应仅在所有恶意软件扫描都将是同一类型时使用此设置。