鑒於最近一段時間蠕蟲病毒的流行，有必要采取一些技術和管理措施以降低病毒傳播帶來的對企業廣域網和辦公網的影響。與傳統通過軟盤、光盤方式傳播的文件型和引導區病毒不同，目前病毒傳播方式、使用技術和帶來的危害已經有了較大的變化。

目錄

病毒技術的新動向
防範建議
建議匯總

病毒技術的新動向

流行病毒的新傳播趨勢有如下三種︰

1、通過郵件附件傳播病毒，如Sobig等郵件病毒；

2、通過無口令或者弱口令共享傳播病毒，如Nimda、Mumu、Lovegate等；

3、利用操作系統或者應用系統漏洞傳播口令，如沖擊波蠕蟲、Sqlslammer蠕蟲等。

通過上面這些方式傳播的病毒，由於其傳播速度驚人，傳統的防毒廠商通常無法及時地完成捕獲病毒，分析病毒，發布升級包的過程，既使發布了升級包，也有很多用戶無法在這麼短的時間內將升級包發布到各個用戶端上。

防範建議

針對利用系統漏洞傳播的病毒

目前通過系統漏洞傳播的病毒的危害最嚴重。這種病毒是目前防毒廠商比較難於處理的。一方面，傳統防毒廠商對系統漏洞的研究不夠深入，往往不能及時地拿出全面的根本解決方案；另一方面，這種病毒的傳播速度很快，對網絡負載也有較大的影響，使得網絡防毒產品也無法及時進行更新。

因此，對這種病毒的傳播，應該是技術手段為輔，管理手段為主。可行的方式包括︰

◆日常工作切觠強制要求配置Windows Update自動升級（僅對Windows 2000/XP、且能夠與互聯網聯通的系統有效）。

◆日常工作切觠定期通過漏洞掃描產品查找存在漏洞的主機（但是部分漏洞無法通過這種方式進行確定），對發現存在漏洞的用戶，要求定時升級，否則進行斷網或者記錄。

◆當安全服務商緊急公告發布時（通常是嚴重漏洞），給全體員工（或者是經過檢查，尚未安裝補丁的員工）下發安全通知，將安全補丁作為附件，要求立即安裝補丁並重新啟動，如果已經被感染，則附上專門的查殺工具，要求進行斷網殺毒。也可以在域控制器上設置自動登錄腳本，當用戶登錄時，強制安裝安全補丁後重新啟動，以幫助非技術用戶盡快安裝補丁。

◆ 對於已經感染病毒的主機，應該盡可能斷網後進行處理，首先安裝補丁，推薦使用專殺工具進行查殺，重新啟動後即可。

針對通過共享和弱口令傳播的病毒

嚴格來說，通過共享和弱口令傳播的蠕蟲大多也利用了系統漏洞。這類病毒會搜索網絡上的開放共享並復制病毒文件，更進一步的蠕蟲還自帶了口令猜測的字典來破解薄弱用戶口令，尤其是薄弱管理員口令。對於采用這種方式傳播的病毒，需要技術和管理手段並行的方式進行。

◆對於支持域的內部網來說，需要在域控制器的域安全策略上增加口令強度策笠觠至少需要保證長度最小值為6，開啟密碼復雜度要求。開啟密碼過期策略對防護此種攻擊作用不大。

◆定期對網絡中的登錄口令進行破解嘗試，可以使用一些免費工具進行檢查，發現可能存在的弱口令。存在弱口令的主機必須及時通知使用者修改，未及時關閉者將限制網絡訪問。

◆ 使用共享掃描工具定期掃描開放共享，發現開放共享的主機必須及時通知使用者關閉，未及時關閉者將限制網絡訪問。

針對通過郵件傳播的病毒

這種病毒基本上可以通過技術手段解決。

◆使用防火牆對郵件附件進行過濾，保護Exchange服務器，如 Foritgate防火牆支持在防火牆上進行病毒或者附件檢測和過濾。

◆使用網絡郵件防毒網關，趨勢和NAI均有專用的網關防毒產品。

◆在現有的Exchange服務器上安裝郵件防毒產品，主要對通過附件方式傳播的病毒進行防範。目前賽門鐵克、趨勢和NAI均有相應的產品。

◆在客戶端（主要是Outlook） 限制訪問附件中的特定擴展名的文件。Outlook 2002內置此支持，Outlook 2002之前的版本需要安裝補丁方能支持附加安全控制。其他郵件客戶端不支持此特性。

例如最近傳播最多的Sobig病毒，病毒附件大多使用pif擴展名進行傳播，只要在上面談到的任何一種手段中禁止帶有pif後綴的文件進入您的郵件服務器，即可防止此類病毒的擴散。除了.pif文件以外，可以被設置阻止運行的附件類型包括︰

文件擴展名 文件類型
.ade Microsoft Access 項目擴展名
.adp Microsoft Access 項目
.bas Microsoft Visual Basic 類模塊
.bat 批處理文件
.chm 已編譯的 HTML 幫助文件
.cmd Microsoft Windows NT命令腳本
.com Microsoft MS-DOS 程序
.cpl 控制面板擴展名
.crt 安全證書
.exe 可執行文件
.hlp 幫助文件
.hta HTML 程序
.inf 安裝信息
.ins Internet 命名服務
.isp Internet 通訊設置
.js javascript 文件
.jse javascript 編碼腳本文件
.lnk 快捷方式
.mdb Microsoft Access 程序
.mde Microsoft Access MDE 數據庫
.msc Microsoft 通用控制台文檔
.msi Microsoft Windows 安裝程序包
.mspMicrosoft Windows 安裝程序補丁
.mst Microsoft Visual Test 源文件
.pcd 照片 CD 圖像，Microsoft Visual 編譯腳本
.pif MS-DOS 程序的快捷方式
.reg 註冊表項
.scr 屏幕保護程序
.sct Windows 腳本組件
.shb Shell 碎片對象
.shs Shell 碎片對象
.url Internet 快捷方式
.vb VBscript 文件
.vbe javascript 編碼腳本文件
.vbs VBscript 文件



建議匯總

由於目前不少病毒采用多種方式混合進行傳播，因此對上面三種類型的病毒傳播方式都要進行控制，方能有效地降低被病毒侵襲的影響，僅僅做一種處理，效果是不明顯的。

執行防護措施時，可以根據實際情況作一些考慮，下面是我們的一些實施建議︰

第一階段︰預設置

首先對網絡中的主機進行分類，建議分為︰普通用戶，服務器、管理層用戶。確定病毒防範策笠觠並對高層領導進行匯報，獲得相應的處理權力的正式授權。

在目前的郵件服務器前段安裝網關防毒產品(可選措施)，從網關過濾郵件病毒。

所有用戶必須強制安裝網絡防毒客戶端，不允許關閉、刪除或者禁用，一旦發現將予以警告記錄。

在目前郵件服務器上安裝郵件防毒產品(需要進行合理配置，建議禁止危險附件郵件的接收和發送)。

采用域策略禁止任何人使用弱口令，並發布口令策略說明，指導用戶設置強度較高的口令。

第二階段︰日常工作

使用弱口令的掃描和審計工具定期檢測網絡中的弱口令和開放共享，對於存在弱口令用戶的設備使用者進行通告，未能按期修補的，按照病毒防範策略進行斷網或記入公司考評處理。

使用漏洞掃描器定期檢查網絡中存在漏洞的主機，對於存在嚴重安全問題的設備使用者進行通告，未能按期修補的，按照防範策略進行斷網或記入公司考評處理。

網絡防毒產品根據病毒防範策略定期定時進行掃描。每月進行匯總，對感染病毒次數最多的用戶進行通報。

移動用戶在可能的情況下，需要首先進行查殺病毒後方可接入網絡。

根據綠盟科技發布的安全通告級別，確定是否進入緊急處理狀態。進入安全緊急狀態時，安全管理員根據策略應具備相應的事件處理權力。

第三階段︰緊急事件處理

緊急事件狀態是指當接收到安全服務商的最高級別安全通告或已經確認開始爆發蠕蟲事件時，管理人員應該進行的應急處理工作。在這個狀態下，安全管理員具有更多的權限，包括強制性補丁安裝和對特定設備申請斷網等。

進入緊急狀態時，可以使用域登錄腳本給普通用戶，尤其是非技術用戶自動安裝補丁。

對於存在問題的尚未感染或已經感染病毒的服務器，通知到人，並且必須在當天完成殺毒和修補工作，否則將進行斷網設置和通報備案。

對於高層管理人員的設備，安全管理員將協同系統管理員一起，直接為此類用戶進行殺毒和修補的工作。

根據安全服務商的其他建議，要求集成商或網絡管理員進行臨時性的訪問控制、流量限制等工作。

總體策略上來看，對於普通用戶，尤其是非技術員工，盡量以自動和強制性執行的策略進行管理；對於服務器管理員，應該通過自主修補，安全管理員監督的方式管理；對於高層管理用戶，則建議由安全管理員直接支持的方式進行。

防毒擋不住至少還有E盾可以先撐著