我們談論的僵尸當然是指受遠程命令控制的僵尸電腦。這些電腦的數量會大幅增長，每臺電腦都會向其控制者發出報告，最終組成一個僵尸網絡。

　　現在，我們正展開一場與僵尸網絡之間的戰爭。是的，是演繹一場互聯網世界的“行尸走肉”。不過，這可不是好萊塢美劇，全球的政府安全部門和安全專家們都會加入到這場戰爭中來，對僵尸進行獵捕，監控和摧毀。最近的案例就有Bredolab(德國高科技犯罪小組破獲)，Rustock(微軟DCU)和Coreflood(FBI)。本文要講的是如何識別并避免當今的僵尸威脅。

　　下面是給企業的七個小建議：

　　1. 定期檢查機器/環境。僵尸可能是潛伏期很久的代碼，它可以等待數周甚至數月的時間才激活。不要主觀臆斷覺得檢查一次沒發現問題就掉以輕心，這樣很可能會錯過發現惡意行為的機會。

　　2. 不要依賴可視檢查或者機器的檢測結果。流量監測是發現僵尸程序的最佳方式，因為數據包已經從機器中發出，所以不能再被替換。僵尸程序通過rootkit感染電腦，獲取核心級別的特權，然后控制整個操作系統——隱藏文件，視窗，網絡流量等。

　　3. 隔離正在接受檢查的機器或是一些彈出提示。在重新部署網絡前要完成清理工作。僵尸電腦會為幕后操縱者帶來財富。最常用的方式是通過流氓安全軟件和彈出的視窗告訴用戶要購買安全軟件。顯然，之所以發生這種情況是因為潛伏的僵尸已經下載了這樣的軟件以達到賺錢目的。僵尸會快速地感染同一個網絡中的其他本地電腦，因此非常有必要及時對已感染機器進行隔離直到僵尸程序清理干凈為止。Fortinet的FortiCleanup Rootkit & Malware免費清理工具(http://www.fortiguard.com/antivirus/malware_removal.html)。

　　4. 流量評估。僵尸程序通常有一個重復性的操作，即對同一個端口(通常是HTTP)上的相同服務器發出響應。如果你發現總是有攜帶HTTP請求的數據流發送到相同IP，特別是在沒有使用瀏覽器的時候，那么應該是系統感染了僵尸病毒。

　　5. 監測輸出流量。入侵防御可以防止僵尸病毒感染網絡。這一技術也可以用來查探僵尸病毒。即便有機器感染了僵尸，檢測并阻止僵尸程序的輸出流量也可以有效減少威脅。這樣一來，僵尸雖未除，但是卻不能再接收命令或是發送信息，如竊取銀行憑證等。

　　6. 避免感染，抵御攻擊。僵尸病毒可通過郵件附件，惡意鏈接，U盤和PDF文檔傳播。要禁用自動運行。通常，感染是通過打開文件或鏈接來觸發。所以要在打開鏈接前先看清楚鏈接。鏈接是通過郵箱，社交網絡還是即時通訊軟件發送其實沒有什么關系——因為原理都是相同的。PDF，DOC，XLS文件也可以成為傳染源。在打開帶郵件附件或是鏈接前，花一點點時間檢查一下。

　　7. 部署統一威脅管理。

　　反病毒檢查有助于攔截二進制僵尸代碼，避免其操縱系統。

　　入侵防御可避免來自網頁的惡意代碼在系統上種植僵尸病毒。

　　網頁過濾可以在惡意代碼發送到瀏覽器之前就攔截惡意URL鏈接。

　　反垃圾郵件可以標記出攜帶附件和鏈接的惡意郵件。

　　應用控制可以阻止僵尸程序向幕后控制者發送信息。

原文鏈接：http://safe.it168.com/a2011/0607/1201/000001201337.shtml