Mise à jour des compétences de nettoyage des logiciels malveillants

11

J'ai vu certains sites proposant «Malware University», des cours de formation pour se débarrasser des logiciels malveillants. Pensez-vous que la mise à jour de vos compétences de suppression de logiciels malveillants (ou arsenal) est nécessaire de temps en temps? Comment pouvez-vous devenir plus efficace pour faire face à cette menace croissante et très compliquée?

Terry
la source

Réponses:

32

Vous ne "nettoyez pas les logiciels malveillants". Vous nivelez les machines et recommencez. Rien de moins est un mauvais service à votre client et demande des ennuis.

En ce qui concerne la "menace", vous n'autorisez pas les utilisateurs à s'exécuter avec des comptes de niveau administrateur (sous Windows) et vous n'installez pas de logiciels non fiables (dans la mesure du possible). Cela me semble assez simple. Mes clients et moi n'avons aucun problème avec les logiciels malveillants.

Evan Anderson
la source
11
Downvotes, hein? Allez-y, votez contre moi. J'ai toujours raison. smile "Nettoyer les logiciels malveillants" est une ligue de brousse. Après qu'un tiers malveillant a attaqué votre ordinateur, garder un système d'exploitation et des logiciels d'application non fiables est une mauvaise idée.
Evan Anderson
4
+1 pour l'avoir dit directement. Je pense cependant qu'il est bon de comprendre le fonctionnement des logiciels malveillants - donc une formation fiable de la part de Mark Russinovich ou de SANS pourrait valoir la peine.
Ben Dunlap
1
Alors, comment définissez-vous les logiciels malveillants? Êtes-vous vraiment en faveur de la réinstallation du système d'exploitation, car vous avez obtenu quelque chose d'aussi inoffensif que cela? viruslist.com/en/viruses/encyclopedia?virusid=18321 Je peux comprendre la réinstallation si vous avez contracté certains des logiciels malveillants les plus néfastes .....
Josh Brower
2
Je préconise de mettre à niveau le système d'exploitation et de restaurer uniquement les fichiers de données à partir de la sauvegarde si vous vous souciez de la confidentialité, de l'intégrité et de la disponibilité des données gérées par un ordinateur qui a exécuté un code tiers malveillant. Si un auteur de malware n'a qu'à faire en sorte que son logiciel ait l'apparence simpliste de vous faire croire que la machine est "propre" après l'avoir bricolée, c'est ce que les auteurs de malware feront.
Evan Anderson
1
+1 pour appris à la dure.
cop1152
6

Au-delà des pratiques sysadmin de ne pas laisser les utilisateurs exécuter des comptes de niveau administrateur et autres, une grande partie de la responsabilité vous incombe de rester à jour sur les menaces dans la nature. Lisez les avertissements qui apparaissent lorsqu'une nouvelle menace est détectée. Ayez une politique de mise à jour pour votre logiciel.

Rien ne peut détruire la sécurité plus rapidement qu'un utilisateur déterminé, alors informez-les des dangers de cliquer sur des liens aléatoires dans les e-mails ou d'installer des applications à moins qu'ils ne soient sûrs de la source (etc.), en veillant à leur dire que c'est pour la sécurité du réseau et de leurs ordinateurs personnels.

Si vous restez au courant de l'actualité et tenez vos utilisateurs au courant, vous réduisez considérablement votre exposition.

RascalKing
la source
5

En ce qui concerne la «formation sur les logiciels malveillants», le nom à lui seul est un mot à la mode trop marketing pour inspirer beaucoup de foi. Je suis peut-être trop sceptique, mais je pense que tout «sujet de malware» spécifique sera obsolète avant la session.

Bien sûr, certaines compétences de base s'appliquent, mais si un administrateur (ou un technicien de support) ne sait pas déjà ces choses, je préfère formater la machine (pour les raisons indiquées par Evan Anderson) au lieu de tenter sa chance sur leurs compétences de nettoyage .

Kara Marfia
la source
4

Autoruns et Process Explorer de Sysinternals (maintenant la propriété de MS) sont vos meilleurs amis. Les 1-2 infections que je vois une semaine où un utilisateur a ouvert une pièce jointe ou visité une page ne devraient pas avoir, et l'AV (à jour!) Ne l'a pas complètement bloqué, peuvent généralement être nettoyées dans 30m-1h d'effort avec seulement ces deux utilitaires. Ils sont assez simples, et après vos premiers nettoyages, vous aurez le don de savoir ce qui doit être tué / supprimé pour se débarrasser des logiciels malveillants.

Cela dit, de temps en temps, vous rencontrerez un morceau de malware qui n'est pas écrit par un idiot, donc si vous ne pouvez pas faire de progrès après 30 minutes, il est temps pour un nettoyage / rechargement complet.

Gardez à l'esprit que cela est plus approprié pour les PME où le matériel n'est pas standardisé. Si vous avez une image système et que les fichiers de l'utilisateur sont sauvegardés, il sera plus rapide de nettoyer / recharger au premier signe d'infection.

Skawt
la source
Je me considère assez compétent avec procexp et autoruns. La dernière fois que j'ai utilisé ces outils pour supprimer un virus, tout avait l'air parfaitement propre, mais il s'est avéré que l'ordinateur transmettait toujours des messages indésirables - suffisamment pour que notre IP figure sur plusieurs listes noires SMTP. La seule façon d'être sûr d'une boîte propre est de reconstruire.
Nic