几年前，在一个项目中，由于是有针对性的恶意软件攻击，我研究了被卷入僵尸网络的超过10,000台的计算机。这些计算机存在的主要问题是安全措施极其薄弱，如没有漏洞测试，以及对传统杀毒软件过度依赖等。另外还发现在安全团队、桌面支持团队、IT管理员和其他相关方之间的沟通出现中断。这是非常致命的。

“肉鸡”和它们的指令控制（C&C）服务器被归类为先进的恶意软件。随着我们更多地了解这些先进恶意软件的复杂程度以及问题可能的复杂性和广泛性，很显然，僵尸网络的清理并不是一件简单的事情。不幸的是，在企业遇到这种问题时，管理员是无法简单地通过关闭系统，重新安装镜像来避免的。

正如我遇到过的一样，肉鸡感染可能是作为一名IT专业人士处理过的最讨厌的事情之一，但它并不会对你现有的工作产生巨大影响。

对于如何应对这些恶意软件感染，以及肉鸡移除，作为企业的IT管理员，以下是需要注意的五个关键步骤。

1. 文档化

如果你要有效地管理IT风险，需要有完善的事件响应流程。行动计划的缺失可以说是有效安全响应的最大障碍。马上开始制定积极的预防措施来尽量减少恶意软件攻击的潜在影响。如果要让你的组织具备处理被僵尸网络劫持的能力，那么一个对不同终端，网络访问，数据管理以及未知用户都有详细定义的好的计划是相当有必要的。

2. 诊断

俗话说，治病一半的功劳在于诊断。所以，感染点在哪里？这是一个对于恶意软件来说价值$ 64,000的问题。

使用加密，快速DNS变更的方式进行攻击称之为“Fast Flux服务网络”，很多典型的僵尸网络和C&C代码都是使用这种方式穿梭在传统的安全控制雷达之下的。这就是为什么没有合适的工具就难以检测僵尸网络。但如果你能找到恶意软件发起的主机，一定要加紧调查并尽量控制范围。提示：Windows客户端被感染的可能性比较大，但也可能是你的Windows服务器。

使用微软的Sysinternals工具是一个好的开端。需要特别小心的是注意在有嫌疑的机器上输入的任何密码，以及从这里访问的其它系统等。对于像Wireshark之类的网络分析工具，OmniPeek还可以提供额外的视图以查看网络层面发生的事情，这种更高级别的视图将让管理员受益匪浅。

此外，你最终可能需要从Damballa和FireEye这样的供应商那里获取更先进的技术，以有效地追踪恶意软件感染和进行肉鸡移除。

下半部分我们将在《管理员应对恶意软件的五个步骤之限制、清除和补丁更新》中介绍接下来的三个步骤。