昨天,卡巴斯基安全研究人员提出了一项完成学习Adwind/JSocket 网络间谍软件,黑客可以通过订阅的形式轻松地在互联网上获得该软件。 01net.com 的读者询问我们如何保护自己免受这种祸害,因为该平台允许创建无法检测的变体。事实上,黑客可以“定制”他的恶意软件并使用包含 23 个防病毒引擎的“测试台”对其进行测试。因此我们向参与这项研究的安全研究人员之一维塔利·卡姆鲁克(Vitaly Kamluk)提出了这个问题。
阅读:Adwind:无所不在的网络犯罪“杀手应用”势头强劲
他认为,没有什么神奇的解决方案:必须采取一系列措施来保护它。首先,您必须已经安装防病毒软件。并非所有使用 Adwind/JSocket 运行的活动都具有高度针对性。因此,到达系统的副本可能已在其他地方被检测到,并且已在签名数据库中被引用。
可以采取的另一种措施是卸载 Java(如果可能)。事实上,该恶意软件是用 Java 编写的,因此需要该框架才能运行。但不幸的是,删除 Java 还不够,因为 Adwind/JSocket 还提供了一种攻击选项,允许通过以动态 HTML (.HTA) 或 VBScript (.VBS) 编写的程序安装 Java(如果计算机上不存在 Java)。
编辑应用程序分配
一个相对简单的实施解决方案是更改 Java 文件 (.JAR) 的默认应用程序分配。“您不必通过 Java 框架运行它们,而是将它们与记事本等文本编辑器配对。即使你误入了这封诱杀电子邮件并点击了附件,也不会发生任何事情。””,维塔利·卡姆鲁克解释道。同样的技术也适用于 HTA 或 VBS 文件。
另一种解决方案是将 Java 应用程序的执行空间限制在某个目录中。“卡巴斯基等防病毒软件允许您进行此类调整””,维塔利·卡姆鲁克说。
