如何处理 Windows 上的恶意软件:“重组和铺路”往往是唯一的方法
2023-8-24 14:51:41 Author: hackernews.cc(查看原文) 阅读量:7 收藏

Hackernews 编译,转载请注明出处:

屏幕截图 2023-08-24 144628

最近的Discord.io漏洞表明,游戏社区成为了越来越有吸引力的目标,因为他们经常使用高性能的机器,并且有资源可以窃取。DomainTools的研究人员写道,大多数恶意软件的目标是Windows系统,并通过Discord发送。可能需要格式化磁盘并重新安装操作系统才能解决恶意攻击。

利用Discord.io漏洞,恶意行为者可以挖掘被入侵的账户和社区列表,以确定可能的感染目标。

研究人员警告说:“只需点击一下,目标玩家的电脑就能被完全破坏。电脑通常被安上信息窃取程序,但远程访问木马、加密矿工或其他恶意软件也可能被释放出来。”

如果发生这种情况,用户不应该浪费时间试图用好的软件来清除有害的软件。

DomainTools研究和数据副总裁肖恩•麦克尼表示:“有时候,解决的唯一途径就是从头开始重新格式化机器——重新组装和铺路(nuke and pave)。”

为什么擦除硬盘是最好的方法

“Nuke and pave”意味着彻底清除受感染设备的硬盘驱动器,从而删除所有数据和软件,然后重新安装一个干净版本的Windows。但事情并不总是那么简单,因为网络骗子正在寻找隐藏他们肮脏代码的新方法。

恶意软件通常会深入到系统中,躲避监控,还可能包括防御防篡改措施。

尽管你会努力尝试使用杀毒软件来清除受感染的系统病毒,但你永远无法完全确定你是否已经清理干净。研究人员警告说:“事实上,你可能经常运行多个反病毒产品—每个产品都得意洋洋地向你报告‘没有发现恶意软件’,结果系统仍然表现出不可否认的严重的问题。”

如今,用户必须牢记,即使是重新格式化驱动器和重新安装系统也变得更加复杂。

DomainTools的研究人员写道:“我们知道你会给你的系统消毒(尽管我们都知道这行不通)。”

在这种情况下,研究人员建议用户了解不同类型的恶意软件之间的细微差别。它可能是机器人程序、真正的计算机病毒、蠕虫、后门、特洛伊木马、rootkit、潜在的不需要的程序、广告软件、犯罪软件、勒索软件、间谍软件等,不同类型决定了清洁工具的不同。

你必须“为清洁工作选择正确的工具并确保设置了所有正确的选项,”研究人员警告说:“许多杀毒软件供应商只使用一个工具,并未提供一个全面的方法来发现和清除所有类型的恶意软件。”

此外,用户应该扫描其系统上的所有数据卷(volumes)。但即便如此,目前无论使用什么工具都无法得到保证。例如,即使杀毒产品宣称计算机是干净的,最好的做法也是使用其他工具(如MalwareByte的ADWCleaner)检查系统中留下的与恶意软件相关的工件。

研究人员注意到:“在一台感染了Discord恶意软件的样本电脑上,ADW发现并标记了三个注册表项,但没有删除。”

恶意软件作者以操纵注册表项而闻名。注册表中有问题或混淆的设置可能被深埋,难以修复。例如,搜索劫持恶意软件可能会将浏览器的默认搜索引擎更改为向劫持者支付重新路由流量的搜索引擎。

其他恶意软件可能隐藏在浏览器扩展中,这些扩展可能被防病毒软件扫描,也可能不被扫描,并且可能在启动时通过主要通过msconfig可见的条目自动启动并在后台运行。恶意软件的创建者一直在寻找新的方法来在受感染的系统上实现“持久性”。

为什么是游戏玩家?为什么是Discord?

攻击者已经进行了成本效益分析,而游戏玩家在他们的清单上名列前茅。

首先,游戏电脑通常比非游戏电脑更强大,而且往往拥有一流的网络连接。如果攻击需要付出同等精力,网络犯罪分子将瞄准更快的系统来安装他们的加密矿工,控制中心或其他货币化选项。

游戏电脑通常不受保护,因为防病毒软件和其他措施可能会“减慢系统速度”。

Discord是一款面向游戏玩家的即时通讯服务,免费且广受欢迎,拥有超过1.5亿活跃用户。该软件的通信是加密的,因此流量对网络监控和攻击检测工具是隐藏的。Discord的用户拥有可以被攻击者变现的资产。

Sophos将Discord描述为一个“粗鲁的社区”和“恶意软件的垃圾场”。甚至对于没有托管在Discord上的恶意软件,Discord API也是恶意命令和控制网络功能的沃土,这些功能隐藏在Discord的tls保护的网络流量中。

一种流行的攻击方式是“新游戏”,当队友或其他人要求尝试新软件时,这实际上可能是恶意软件。


消息来源:cybernews,译者:Linn;  

本文由 HackerNews.cc 翻译整理,封面来源于网络;  

转载请注明“转自 HackerNews.cc ” 并附上原文


文章来源: https://hackernews.cc/archives/45286
如有侵权请联系:admin#unsafe.sh