pdf viewer in c# windows application : Paste picture into pdf preview SDK Library API wpf .net html sharepoint SP800-834-part1404

G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
functionality over security.  Accordingly, organizations should consider disabling unneeded features and 
capabilities from applications, particularly those that are commonly exploited by malware, to limit the 
possible application attack vectors for malware.  Organizations should also consider identifying 
applications that are typical malware propagation methods (e.g., Web browsers, e-mail clients and 
servers) and configuring them to filter content and stop other activity that is likely to be malicious.  Some 
application settings to consider in malware incident prevention are as follows: 
Blocking Suspicious E-Mail Attachments.  Many organizations prevent incidents by 
configuring their e-mail servers (and possibly e-mail clients as well) to identify suspicious e-mail 
file attachments and either remove the attachments from the e-mails or block the e-mails 
themselves.  For example, many organizations block attachments with file extensions that are 
often associated with malware (e.g., .pif, .vbs) and suspicious file extension combinations (e.g., 
.txt.vbs, .htm.exe).  Although this can stop unknown threats, it might also inadvertently block 
legitimate activity.  Some organizations alter suspicious e-mail attachment file extensions so that 
a recipient would have to save the attachment and rename it before running it, which is a good 
compromise in some environments between functionality and security.
Filtering Spam.  Spam is often used for phishing and spyware delivery (e.g., Web bugs often are 
contained within spam), and it sometimes contains other types of malware.  Using spam filtering 
software on e-mail servers or clients or on network-based appliances can significantly reduce the 
amount of spam that reaches users, leading to a corresponding decline in spam-triggered malware 
incidents. 
Filtering Web Site Content.  Although Web content filtering software is typically thought of as 
preventing access to materials that are inappropriate for the workplace, it may also contain lists of 
phishing Web sites and other sites that are known as hostile (i.e., attempting to distribute malware 
to visitors).  Web content filtering software can also block undesired file types, such as by file 
extension. 
Limiting Mobile Code Execution.  Applications such as Web browsers and e-mail clients can be 
configured to permit only the required forms of mobile code (e.g., JavaScript, ActiveX, Java) and 
to run mobile code only from particular locations (i.e., internal Web sites only).  This can be 
effective at stopping some instances of malicious mobile code, but may also impact the 
functionality of benign Web sites.  Web content filtering software can also be deployed to 
monitor Web-related network activity and block certain types of mobile code from untrusted 
locations.
Restricting Web Browser Cookies.  Most Web browsers can be configured to prompt users to 
accept or reject each cookie, or to accept or reject session cookies automatically but prompt users 
to accept each persistent cookie or reject persistent cookies automatically.
29
Most Web browsers 
also can be configured to allow cookies to be set only for the Web site the user visited (known as 
first-party cookies), not for the Web sites of advertisers and other parties (known as third-party 
cookies).  Permitting first-party cookies and blocking third-party cookies can be very helpful in 
reducing the number of tracking cookies placed onto a system.
Blocking Web Browser Popup Windows.  Some popup windows are crafted to look like 
legitimate system message boxes or Web sites, and can trick users into going to phony Web sites, 
including sites used for phishing, or authorizing changes to their systems, among other malicious 
29  Depending on how the cookie options are configured and which Web sites users visit, prompting users to accept cookies or 
rejecting certain types of cookies automatically can be very inconvenient for users. 
3-15
Paste picture into pdf preview - copy, paste, cut PDF images in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Detailed tutorial for copying, pasting, and cutting image in PDF page using C# class code
how to copy and paste a picture from a pdf document; cut and paste pdf images
Paste picture into pdf preview - VB.NET PDF copy, paste image library: copy, paste, cut PDF images in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET Tutorial for How to Cut or Copy an Image from One Page and Paste to Another
paste image into pdf; how to copy an image from a pdf file
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
actions.  Most Web browsers can block popup windows; others can do so by adding a third-party 
popup blocker to the Web browser. 
Preventing Software Installation Within Web Browsers.  Some Web browsers can be 
configured to prompt the user to approve the installation of software such as Web browser plug-
ins.  Some browsers can even prevent any Web site from installing software on the client.  These 
settings are particularly helpful for preventing the installation of spyware within Web browsers. 
Preventing Automatic Loading of E-Mail Images.  Most e-mail clients can be configured not 
to automatically load graphics contained within e-mails.  This is particularly helpful in thwarting 
e-mail-based Web bugs.  With this configuration setting, the outline of an unloaded Web bug 
appears as a small box within the e-mail, and the user’s activity cannot be tracked unless the user 
chooses to have the image loaded. 
Altering File Associations.  Many operating systems provide a mechanism for specifying which 
types of files are associated with certain programs, such as opening .txt files with a text editor.  
When a user attempts to open a file, the operating system typically checks the default file 
association and runs the designated application.  Although this is convenient for users, it is also 
helpful to malware; for example, a user could be tricked into attempting to open an e-mail file 
attachment, which would then be automatically run by the operating system.  Many organizations 
alter the file associations on systems for file types that are most frequently used by malware (e.g., 
.pif, .vbs) so that the files are not run automatically when users attempt to open them. 
Restricting Macro Use.  Applications such as word processors and spreadsheets often contain 
macro languages; macro viruses take advantage of this.  Most common applications with macro 
capabilities offer macro security features that permit macros only from trusted locations or 
prompt the user to approve or reject each attempt to run a macro.
Preventing Open Relaying of E-Mail.  Mass mailing worms sometimes attempt to use an 
organization’s e-mail servers as open relays, which means that neither the sender nor the 
recipients of the e-mail are part of the organization.  E-mail servers that permit open relaying can 
provide mass mailing worms with an easy way to propagate.  Organizations should consider 
configuring their e-mail servers to prevent open relaying and to record all attempts to use them as 
relays.
30
Although these application settings can be effective in reducing the frequency of malware incidents, 
selecting the appropriate settings often is challenging.  In most cases, configuring an application to act 
more securely causes a reduction in functionality.  For example, disabling Java support in Web browsers 
would prevent the organization’s Java-based Web applications from running.  Accordingly, organizations 
should carefully consider the implications of each setting and weigh the benefits of improved security 
against the loss of functionality.  Organizations should also be mindful of the variety of client applications 
in use.  For example, client systems might have various versions of multiple Web browsers and multiple 
e-mail clients installed, each of which has different functionality and possible configuration settings.  The 
organization might also offer a Web-based e-mail client that offers limited functionality and has few 
security configuration options compared with a standard e-mail client. 
In most organizations, implementing and maintaining application settings on servers is relatively easy; 
doing the same for clients is far more challenging.  In highly managed environments, it is usually feasible 
to control application settings centrally across all clients, but in most other environments it is not 
practical.  Organizations might be able to implement their selected settings on new systems, but could not 
30  For more information on open relays and other aspects of e-mail security, see NIST SP 800-45, Guidelines on Electronic 
Mail Security, available at http://csrc.nist.gov/publications/nistpubs/index.html
.  
3-16
C# PDF insert image Library: insert images into PDF in C#.net, ASP
Import graphic picture, digital photo, signature and logo Ability to put image into specified PDF page component supports inserting image to PDF in preview
how to paste a picture in a pdf; copy image from pdf to powerpoint
VB.NET PDF insert image library: insert images into PDF in vb.net
Import graphic picture, digital photo, signature and logo into Insert images into PDF form field in VB.NET. component supports inserting image to PDF in preview
how to cut a picture from a pdf document; how to copy image from pdf file
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
ensure that these settings would not be changed or update the settings automatically as needed to respond 
to changing security and functionality needs.  Organizations should consider how application client 
settings can be implemented, maintained, and checked effectively.  In non-managed environments, 
organizations might need to rely on awareness activities and voluntary participation by users.  In managed 
environments, organizations should consider how needed exceptions to the selected application 
configuration settings should be approved, implemented, maintained, and periodically validated. 
Many of the benefits provided by altering the configuration settings of client applications can also be 
achieved through the use of host-based firewalls.  As described in Section 3.4.4.2, many host-based 
firewalls can monitor application content through antivirus software, suppress Web browser popup 
windows, restrict mobile code execution, and block cookies.  Many host-based firewalls also can perform 
spam filtering and Web content filtering.  However, host-based firewall features do not address all 
application settings, so it is most effective to use both a host-based firewall and appropriate application 
settings for clients. 
Being able to alter application configuration settings quickly can be very beneficial in stopping major new 
threats.  For example, suppose that there was a new e-mail-based threat that could not yet be detected by 
antivirus and intrusion prevention software.  In this case, an organization could reconfigure its e-mail 
server and client settings to delete all e-mails that matched the characteristics of the new threat.  
Organizations should consider in advance how such settings could be implemented during a malware 
emergency and establish and maintain appropriate procedures. 
3.5  Summary 
Organizations should plan and implement an approach to malware incident prevention based on the attack 
vectors that are most likely to be used, both currently and in the near future.  Organizations should choose 
preventive methods that are well-suited to their environment and systems; for example, a technique that 
works well in a managed environment might be ineffective in a non-managed environment.  An effective 
approach to malware incident prevention should incorporate policy considerations, awareness programs 
for users and IT staff, and vulnerability and threat mitigation efforts. 
As the basis for additional prevention efforts, organizations should ensure that their policies support the 
prevention of malware incidents.  Common malware prevention–related policy considerations fall into the 
following three general categories:  
Specifying the acceptable use of systems 
Mitigating vulnerabilities 
Mitigating threats. 
Malware prevention–related policy should address considerations related to remote workers using both 
systems controlled by the organization and systems outside the organization’s control. 
Organizations should implement awareness programs that include guidance to users on malware incident 
prevention.  All users should be made aware of the ways in which malware spreads, the risks that 
malware poses, the inability of technical controls to prevent all incidents, and the importance of users in 
preventing incidents.  Awareness programs should also make users aware of policy and procedures that 
apply to malware incident handling, such as how to report suspected infections and what users might need 
to do to assist incident handlers.  In addition, the organization should conduct awareness activities for IT 
staff involved in malware incident prevention and provide training in specific tasks. 
3-17
C# PDF remove image library: remove, delete images from PDF in C#.
Support removing vector image, graphic picture, digital photo, scanned signature, logo, etc. Able to cut and paste image into another PDF file.
how to copy and paste a pdf image into a word document; how to copy pictures from pdf to powerpoint
VB.NET PDF remove image library: remove, delete images from PDF in
PDF Image Extract; VB.NET Write: Insert text into PDF; C#.NET PDF pages extract, copy, paste, C#.NET Support removing vector image, graphic picture, digital photo
paste image into pdf form; paste image into pdf reader
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
Organizations should have documented policy, processes, and procedures for vulnerability mitigation to 
prevent malware from exploiting OS and application vulnerabilities.  Because a vulnerability usually can 
be mitigated by one or more methods, organizations should use a combination of vulnerability mitigation 
techniques, such as patch management and the principle of least privilege.  Patch management is a 
complex process that can be very effective in mitigating vulnerabilities but might not be feasible for 
situations in which a new malware threat emerges within days of the announcement of a new 
vulnerability.  Applying the principle of least privilege to systems can stop malware that requires 
administrator-level privileges for successful exploitation and can reduce the amount of damage that some 
malware can cause.  Organizations should also consider implementing additional host hardening 
measures, such as eliminating unsecured file shares and disabling or removing unneeded services, to 
further reduce possible vulnerabilities. 
In addition to vulnerability mitigation, organizations should perform threat mitigation efforts to detect and 
stop malware before it can affect its targets.  The following types of technical controls are particularly 
helpful in threat mitigation: 
Antivirus software is the most commonly used technical control for malware threat mitigation, 
and has become a necessity for preventing malware incidents.  Spyware detection and removal 
utilities specialize in mitigating both malware and non-malware forms of spyware.  Both antivirus 
software and spyware detection and removal utilities rely on signatures and should be kept 
updated to improve detection accuracy. 
Network-based IPSs offer limited malware detection capabilities by default, but usually they can 
be customized to stop specific known threats, such as worms.  Host-based IPSs can stop a variety 
of known and unknown malware-related threats. 
Firewalls can prevent attacks against network services. Host-based firewalls also offer features 
that monitor application content and functionality to prevent malware incidents from exploiting 
application vulnerabilities or taking advantage of application features.  Routers can be helpful in 
blocking certain worm threats. 
Organizations can also configure application settings to increase security at the expense of 
functionality. 
3-18
C# Word - Document Processing in C#.NET
Open(docFilePath); //Get the main ducument IDocument doc = document.GetDocument(); //Document clone IDocument doc0 = doc.Clone(); //Get all picture in document
how to copy text from pdf image to word; copy paste picture pdf
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
4.  Malware Incident Response 
As defined in NIST SP 800-61, Computer Security Incident Handling Guide, the incident response 
process has four major phases:  preparation, detection and analysis, containment/eradication/recovery, and 
post-incident activity.  Figure 4-1 displays this incident response life cycle.  This section of the guide 
builds on the concepts of SP 800-61 by providing additional details about responding to malware 
incidents.
31
The initial phase of malware incident response involves performing preparatory activities, such as 
developing malware-specific incident handling procedures and training programs for incident response 
teams.  As described in Section 3, the preparation phase also involves using policy, awareness activities, 
vulnerability mitigation, and security tools to reduce the number of malware incidents.  Despite these 
measures, residual risk will inevitably persist, and no solution is foolproof.  Detection of malware 
infections is thus necessary to alert the organization whenever incidents occur.  Rapid detection is 
particularly important for malware incidents because they are more likely than other types of incidents to 
affect many users and systems within a short time, and faster detection can help reduce the number of 
infected systems. 
Figure 4-1.  Incident Response Life Cycle 
For each incident, the organization should act appropriately, based on the severity of the incident, to 
mitigate its impact by containing it, eradicating infections, and ultimately recovering from the incident.  
This can be extremely challenging during widespread infections, when a sizable percentage of an 
organization’s systems may be infected at one time.  After an incident has been handled, the organization 
should issue a report that details the cause and cost of the incident and the steps the organization should 
take to prevent future incidents and to prepare more effectively to handle incidents that do occur. 
Although the basic incident handling process is the same for any type of malware incident, widespread 
infections present many challenges that the standard incident response process does not specifically 
address.  This section of the document focuses on the handling of widespread malware incidents; 
however, the guidance it provides should also be helpful for those handling less severe malware incidents. 
4.1  Preparation 
Having a robust incident response capability within an organization is a fundamental part of preparing to 
handle malware incidents; without such a capability, it can be exceedingly difficult in all but the smallest 
organizations to contain and eradicate widespread malware infections effectively.  Some organizations 
with particularly high malware handling needs even have a dedicated malware incident response team in 
4-1
31 
For more information on how to establish an incident response capability, refer to NIST SP 800-61, Computer Security 
Incident Handling Guide, available at http://csrc.nist.gov/publications/nistpubs/index.html
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
addition to a general incident response team.  Because malware incidents have the potential to cause an 
extensive negative impact throughout an organization in a matter of minutes, organizations should prepare 
by developing malware-specific incident handling policies and procedures, which define the roles and 
responsibilities of all individuals and teams that might be involved in malware incident handling.  
Regularly conducting malware-oriented training and exercises can be very helpful in ensuring that people 
are aware of their roles and responsibilities and ensuring that malware policies and procedures are 
accurate and comprehensive.  Exercises for handling widespread infections may be particularly helpful as 
preparation because such incidents happen relatively infrequently in most organizations, but cause the 
greatest impact. 
Organizations should also perform other preparatory measures to ensure that they are capable of 
responding effectively to malware incidents.  Sections 4.1.1 through 4.1.3 describe several recommended 
preparatory measures, including building and maintaining malware-related skills within the incident 
response team, facilitating communication and coordination throughout the organization, and acquiring 
necessary tools and resources. 
4.1.1 
Building and Maintaining Malware-Related Skills 
In addition to standard incident response team skills, the following areas of knowledge may be of benefit 
for malware incident handlers: 
Malware Infection Methods.  All malware incident handlers should have a solid understanding 
of how each major category of malware infects systems and spreads. 
Malware Detection Tools.  As described in Section 3.4, malware can be detected by antivirus 
software, network-based and host-based intrusion prevention software, spyware detection and 
removal utilities, and other types of tools.  Incident handlers who are familiar with the 
organization’s implementations and configurations of malware detection tools should be better 
able to analyze supporting data and identify the characteristics of threats.  All handlers should be 
familiar with the organization’s antivirus software, at a minimum. 
Computer Forensics.  Organizations should have at least a few incident handlers who are 
proficient with computer forensics tools and techniques.  This expertise is needed when 
investigating the most challenging malware situations, such as suspected rootkit installations.
32
Broad Understanding of IT.  This understanding allows handlers to assess the potential and 
likely impact of a malware threat across an organization and to make sound recommendations for 
containment, eradication, and recovery. 
Programming.  Having team members with programming skills in popular scripting and macro 
languages, or relying on others within the organization who have programming expertise, can 
help the team understand the behavior and the potential impact of a new interpreted virus or 
worm in a matter of minutes. 
Besides conducting malware-related training and exercises (as discussed in Section 4.1), organizations 
should also seek other ways of building and maintaining skills.  One possibility is to have incident 
handlers temporarily work as antivirus engineers or administrators so that they can gain new technical 
skills and become more familiar with antivirus staff procedures and practices.  Incident handlers could 
also work on a vulnerability management team temporarily to increase their knowledge of how vulnerable 
32  For more information on computer forensics, see NIST SP 800-86 (DRAFT), Guide to Applying Forensic Techniques to 
Incident Response, which is available at http://csrc.nist.gov/publications/nistpubs/
.   
4-2
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
systems are detected and patched; this exposure could help handlers make better containment and 
eradication decisions. 
4.1.2 
4.1.3 
Facilitating Communication and Coordination 
One of the most common problems during malware incident handling, particularly in widespread 
incidents, is poor communication and coordination.  Anyone involved in an incident, including users, can 
inadvertently cause additional problems because of a limited view or understanding of the situation.  To 
improve communication and coordination, an organization should designate in advance a few individuals 
or a small team to be responsible for coordinating the organization’s responses to malware incidents.  The 
coordinator’s primary goal is to maintain situational awareness by gathering all pertinent information, 
making decisions that are in the best interests of the organization, and communicating pertinent 
information and decisions to all relevant parties within the organization in a timely manner.  For malware 
incidents, the relevant parties often include end users, who might be given instructions on how to avoid 
infecting their systems, how to recognize the signs of an infection, and what to do if a system appears to 
be infected.  The coordinator also needs to provide technical guidance and instructions to all staff 
assisting with containment, eradication, and recovery efforts, as well as giving management regular 
updates on the status of the response and the current and likely future impact of the incident. 
Because widespread malware incidents often disrupt e-mail services, internal Web sites, Voice over IP, 
and other forms of communication, organizations should have several communication mechanisms 
established so that good communication and coordination among incident handlers, technical staff, 
management, and users can be sustained during adverse events.  Possible communication methods include 
the organization’s phone system, cell phones, pagers, e-mail, fax, and paper.  Even under good conditions, 
it is often effective to use different communication methods for different audiences (for example, 
communicating to users through e-mail, but using a standard conference call phone number for 
discussions among key technical personnel).  Management updates could occur in person, through 
conference calls, or through a voice mailbox greeting that is updated regularly with the incident status and 
other helpful information.  Section 4.3.1 describes other methods for communicating with users, including 
sending broadcast voice mail messages and posting signs in high-traffic office areas. 
Organizations should also establish a point of contact for answering questions about the legitimacy of 
malware alerts.  Many organizations use the IT help desk as the initial point of contact and give help desk 
agents access to sources of information on real malware threats and virus hoaxes so that they can quickly 
determine the legitimacy of an alert and provide users with guidance on what to do.
33
Organizations 
should caution users not to forward malware alerts to others without first confirming that the alerts are 
legitimate. 
Acquiring Tools and Resources 
Organizations should also ensure that they have the necessary tools (hardware and software) and 
resources to assist in malware incident handling.  Examples of tools include packet sniffers and protocol 
analyzers.  Section 3.4 describes several additional tools such as antivirus software, spyware detection 
and removal utilities, and host-based IPS software that incident handlers should be able to use.  Incident 
handling teams may choose to build hash sets of known good operating system and application files so 
that they are better prepared to determine how malware has altered a system.
34
Examples of resources 
33
 Resources that can be helpful for determining the legitimacy of virus alerts include the Computer Incident Advisory 
Capability (CIAC) (http://ciac.llnl.gov/ciac/
), the Computer Virus Myths site (http://www.vmyths.com/
), and major antivirus 
manufacturers’ Web sites. 
34  NIST’s National Software Reference Library (NSRL) has hashes for files from many operating systems and applications.  
Handlers can also create hashes of files periodically.  Handlers should rely on standard hash sets such as those from the 
4-3
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
include lists of contact and on-call information, commonly used port numbers, and known critical assets.  
Table 4-1 provides a checklist of key tools and resources for malware incident handlers:
35
Table 4-1.  Tools and Resources for Malware Incident Handlers 
Acquired 
Tool / Resource 
Malware Incident Handler Communications and Facilities 
Contact information (e.g., phone numbers, e-mail addresses) for team members and others within 
and outside the organization (primary and backup contacts) who may have helpful information, such 
as antivirus vendors and other incident response teams 
On-call information for other teams within the organization, including escalation information 
Pagers or cell phones to be carried by team members for off-hour support, onsite communications 
Alternate Internet access method for finding information about new threats, downloading patches 
and updates, and reaching other Internet-based resources when Internet access is lost during a 
severe malware incident 
War room for central communication and coordination; if a permanent war room is not necessary, 
the team should create a procedure for procuring a temporary war room when needed 
Malware Incident Analysis Hardware and Software 
Laptops, which provide easily portable workstations for activities such as analyzing data and sniffing 
packets 
Spare workstations, servers, and networking equipment, which may be used for trying out 
malware in an isolated environment; if the team cannot justify the expense of additional equipment, 
perhaps equipment in an existing test lab could be used, or a virtual lab could be established using 
OS emulation software 
Blank media, such as floppy diskettes and CDs, for storing and transporting malware samples and 
other files as needed 
Packet sniffers and protocol analyzers to capture and analyze network traffic that may contain 
malware activity 
Up-to-date, trusted versions of OS executables and analysis utilities, stored on floppy diskettes 
or CDs, to be used to examine systems for signs of malware infection (e.g., antivirus software, 
spyware detection and removal utilities, system administration tools, forensics utilities) 
Malware Incident Analysis Resources 
Port lists, including commonly used ports and known Trojan horse and backdoor ports 
Documentation for OSs, applications, protocols, and antivirus and intrusion detection signatures 
Network diagrams and lists of critical assets, such as Web, e-mail, and File Transfer Protocol 
(FTP) servers 
Baselines of expected network, system and application activity 
Malware Incident Mitigation Software 
Media, including OS boot disks and CDs, OS media, and application media 
Security patches from OS and application vendors 
Disk imaging software and backup images of OS, applications, and data stored on secondary 
media 
NSRL project whenever possible, and create custom hash sets primarily for organization-specific files.  Because Federal 
agencies must use FIPS-approved encryption algorithms contained in validated cryptographic modules, handlers should use 
SHA-1 instead of MD5 for file hashes whenever possible. 
35  Additional resources are listed in Appendix F. 
4-4
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
4.2  Detection 
Organizations should strive to detect and validate malware incidents rapidly, because infections can 
spread through an organization in a matter of minutes.  Early detection can help the organization 
minimize the number of infected systems, which should lessen the magnitude of the recovery effort and 
the amount of damage the organization sustains.  Although major incidents might hit an organization so 
quickly that there is no time for anyone to react, most incidents occur more slowly. 
Because malware can take many forms and be distributed through many means, there are many possible 
signs of a malware incident and many locations within an organization where the signs might be recorded 
or observed.  It sometimes takes considerable analysis, requiring extensive technical knowledge and 
experience, to confirm that an incident has been caused by malware, particularly if the malware threat is 
new and unknown.  After malware incident detection and validation, incident handlers should determine 
the type, extent, and magnitude of the problem as quickly as possible so that the response to the incident 
can be given the appropriate priority.  Sections 4.2.1 through 4.2.3 provide guidance on understanding the 
signs of malware incidents, identifying the characteristics of incidents, and determining incident scope 
and prioritizing response efforts. 
4.2.1  Understanding Signs of Malware Incidents 
Signs of a malware incident fall into two categories: precursors and indications.  A precursor is a sign 
that a malware attack may occur in the future.  An indication is a sign that a malware incident may have 
occurred or may be occurring.   
Most malware precursors take one of the following forms: 
Malware Advisories.  Antivirus vendors and other security-related organizations distribute and 
post advisories concerning major new malware threats.  Incident handlers should subscribe to 
malware advisory mailing lists so that they receive advance warning of threats that could affect 
the organization in the coming hours or days.  Incident handlers might also hear reports of new 
malware from general security mailing lists, as well as from peers at other organizations that have 
already been affected.  In addition, organizations can pay for early warning services that identify 
and analyze emerging malware threats, with the intent of providing reliable information to service 
subscribers before the information is publicly available from other sources, such as antivirus 
vendors. 
Security Tool Alerts.  Tools such as antivirus software and IPSs can detect and quarantine, 
delete, or otherwise prevent instances of malware from infecting systems.  These actions cause 
security tool alerts to be generated, which might be signs of a subsequent incident.  For example, 
after malware attempts but fails to enter a system through one means (resulting in alerts), the 
same type of malware could enter the organization through an unmonitored attack vector (e.g., an 
unsecured modem) or reach a system that had not been properly secured, causing an incident. 
Detecting precursors gives organizations an opportunity to prevent incidents by altering their security 
posture and to be on the alert to handle incidents that occur shortly after the precursor.  In the most 
serious cases, if it seems nearly certain that the organization is about to experience a major incident, 
organizations might decide to act as if the incident were already occurring and begin to mobilize their 
incident response capabilities.  Nevertheless, many, if not most, malware incidents do not have clear 
precursors, and precursors often appear immediately before an incident; therefore, organizations should 
not rely on such advance warning. 
4-5
G
UIDE TO 
M
ALWARE 
I
NCIDENT 
P
REVENTION AND 
H
ANDLING
Although incidents frequently occur without clear precursors, there are often many indications that a 
malware incident is underway.  Examples of indications are as follows: 
A Web server crashes. 
Users complain of slow access to hosts on the Internet, exhaustion of system resources, slow disk 
access, or slow system boots. 
Antivirus software detects that a host is infected with a worm and generates an alert. 
A system administrator sees a filename with unusual characters. 
A host records an auditing configuration change in its log. 
Whenever a user tries to run a Web browser, the user’s laptop reboots itself. 
An e-mail administrator sees a large number of bounced e-mails with suspicious content. 
Security controls such as antivirus software and personal firewalls are disabled on many hosts. 
A network administrator notices an unusual deviation from typical network traffic flows. 
Most of these indications could have causes other than malware.  For example, a Web server could crash 
because of a non-malware attack, an OS flaw, or a power disruption, among other reasons.  Bounced e-
mails could be caused by a system hardware failure or e-mail server misconfiguration, or they might be 
spoofed by a spammer.  These complications illustrate the challenges involved in detecting and validating 
a malware incident, and the need to have well-trained, technically knowledgeable incident handlers who 
can perform analysis quickly to determine what has happened.  Handlers should be adept at reviewing 
possible indications from many different sources and correlating data among the sources to identify 
malware-related activity.  The primary sources of indications fall into a few broad categories: 
Users.  Users often report malware-related indications to the help desk and other technical 
support staff.  For example, users might see antivirus alerts on their workstations, experience 
operational failures, or notice unusual behavior.  Users may also be the cause of an infection and 
may call the help desk after inadvertently doing something they should not have. 
IT Staff.  System, network, and security administrators, as well as other IT staff members, 
usually are familiar with normal activity and are sensitive to observed significant deviations from 
expected behavior. 
Security Tools.  Some security tools, such as antivirus software and IPSs, may record explicit 
indications of malware.  Other tools, such as network monitoring software, may report deviations 
from expected behavior without specifically labeling it as malware related.  The alerts and other 
information produced by security tools need to be monitored frequently or continuously to be of 
value in detecting malware. 
The variety of characteristics exhibited by malware is so great that it is not feasible to develop a 
comprehensive list of indications.  However, Table 4-2 lists the most likely indications of a malware 
incident for various types of malware and attacker tools.  This table may help individuals identify and 
classify possible malware incidents more quickly.  Indications for incidents in which malware has 
achieved administrator-level access are not represented in Table 4-2.  If malware achieves this level of 
access on a system, it may be able to perform virtually any possible action on the system.  Accordingly, 
the indications for such incidents are nearly endless. 
4-6
Documents you may be interested
Documents you may be interested