病毒技术的新动向

鉴于最近一段时间蠕虫病毒的流行，有必要采取一些技术和管理措施以降低病毒对企业造成的影响。
与传统通过软盘、光盘方式传播的文件型和引导型病毒不同，目前病毒的传播方式，在使用的技术和带来的危害上都已经有了较大的变化。流行病毒新的传播方式有如下三种:
◆ 通过邮件附件传播病毒，如sobig等邮件病毒。
◆ 通过无口令或者弱口令共享传播病毒，如nimda，mumu，lovegate等。
◆ 利用操作系统或者应用程序漏洞传播病毒，如冲击波蠕虫，sqlslamme蠕虫，红色代码2等。
通过上面这些方式传播的病毒，由于其传播速度惊人，往往能在24小时内横扫互联网，传统的防毒厂商通常无法及时地完成捕获病毒、分析病毒、发布升级包的过程，即使发布了升级包，也有很多用户无法在这么短的时间内将升级包发布到各个用户端上，即使采用网络防毒产品，一旦病毒已经开始传染，就有可能关闭本机上的防毒软件，或者大量占用网络带宽，导致防毒服务器无法通过网络正常发布升级包。而通过传统的存储媒介方式传播的病毒，由于其传播速度比较缓慢，只要部署了网络防毒产品，通常都能及时地升级和查杀。因此，我们在这里主要讨论如何防范网络蠕虫。

防范技术建议

防范利用系统漏洞传播的病毒
目前流行的病毒通过系统漏洞传播最为明显，包括以前的红色代码和nimda，还有最近一年的sql slammer和冲击波蠕虫等。虽然打安全补丁是最根本的解决方式，但是说起来容易，实施却很困难，因为大多数需要安装补丁的系统，其使用者根本无法理解什么是安全补丁，以及如何安装。另外，这种病毒是目前防毒厂商比较难于处理的，一方面由于一些传统防毒厂商对系统漏洞的研究不够深入，不能及时拿出全面的根本解决方案；另一方面，这种病毒的传播速度很快，对网络负载也有较大的影响，使得即使出了查杀病毒的升级包，网络防毒产品也无法及时进行更新。
因此，对这种病毒的传播，应该是技术手段为辅，管理手段为主。可行的方式包括：
◆ 日常工作中，要求强制配置Windows Update自动升级（仅对Win2k,Winxp，且能够与互联网联通的系统有效）。
◆ 日常工作中，定期通过漏洞扫描查找存在漏洞的主机（但是有部分漏洞无法通过这种方式进行确定），对发现存在漏洞的用户，要求定时升级，否则进行断网或者记录。
◆ 当安全服务商发布紧急公告时（通常是严重漏洞），对全体员工下发安全通知，将安全补丁作为附件，要求立即安装补丁并重新启动。如果已经被感染，则附上专门的查杀工具，要求马上进行断网杀毒。
◆ 也可以在域控制器上设置自动登录脚本，当用户登录时，强制安装安全补丁后重新启动，以帮助非技术用户尽快安装补丁。
◆ 对于已经感染病毒的主机，应该尽可能断网后进行处理，首先安装补丁，推荐使用专杀工具进行查杀。

通过共享和弱口令传播的病毒
严格来说，通过共享和弱口令传播的蠕虫大多也是利用系统漏洞。以通过共享传播的nimda和lovegate为例，它们会搜索网络上开放的共享并复制病毒文件。更“聪明”的蠕虫还自带了猜测口令的字典来破解薄弱用户口令，尤其是薄弱管理员口令。获得管理员口令后，通过标准的Windows工具或者系统调用，远程运行蠕虫上传和执行的命令。 
对于采用这种传播方式的病毒，需要用技术和管理手段并行进行防治：
◆ 对于支持域的内部网来说，需要在域控制器的域安全策略上增加口令强度策略，保证密码长度不小于6位，开启密码复杂度要求。开启密码过期策略对防护此种攻击作用不大。
◆ 定期对网络中的登陆口令进行破解尝试，可以使用一些免费工具进行检查，发现可能存在的弱口令，必须及时通知存在弱口令的主机使用者修改，未及时修改者将限制网络访问。
◆ 使用共享扫描工具定期扫描开放共享，必须及时通知发现开放共享的主机使用者关闭，未及时关闭者将限制网络访问。

通过邮件传播的病毒
此种传播方式基本上可以通过技术手段解决：
◆ 使用能够对邮件附件进行过滤的防火墙保护exchange服务器，如 foritgate防火墙支持在防火墙上进行病毒或者附件检测和过滤。
◆ 使用网络邮件防毒网关，trend和nai均有专用的网关防毒产品。
◆ 在现有的exchange服务器上安装邮件防毒产品，对通过附件方式传播的病毒进行防范，目前symantec，trend，NAI均有相应的产品。
◆ 在客户端（主要是outlook）限制访问附件中的特定扩展名文件，outlook 2002内置此功能，outlook 2002之前的版本需要安装补丁方能支持附加安全控制，但其它邮件客户端不支持此特性。例如最近传播较多的sobig病毒，病毒附件大多使用pif扩展名进行传播，只要在上面谈到的任何一种手段中禁止带有pif后缀的文件进入你的邮件服务器（如exchange），即可防止此类病毒的扩散。除了.pif文件以外，存在安全隐患的附件类型还包括：
文件扩展名 文件类型
.ade Microsoft Access 项目扩展名
.adp Microsoft Access 项目
.bas Microsoft Visual Basic 类模块
.bat 批处理文件
.chm 已编译的 HTML 帮助文件
.cmd Microsoft Windows NT(r) 命令脚本
.com Microsoft MS-DOS 程序
.cpl 控制面板扩展名
.crt 安全证书
.exe 可执行文件
.hlp 帮助文件
.hta HTML 程序
.inf 安装信息
.ins Internet 命名服务
.isp Internet 通讯设置
.js  Javascript 文件
.jse Javascript 编码脚本文件
.lnk  快捷方式
.mdb  Microsoft Access 程序
.mde  Microsoft Access MDE 数据库
.msc  Microsoft 通用控制台文档
.msi  Microsoft Windows 安装程序包
.msp  Microsoft Windows 安装程序补丁
.mst  Microsoft Visual Test 源文件
.pcd  照片CD图像，Microsoft Visual编译脚本
.pif  MS-DOS 程序的快捷方式
.reg  注册表项
.scr  屏幕保护程序
.sct  Windows 脚本组件
.shb  Shell 碎片对象
.shs  Shell 碎片对象
.url  Internet 快捷方式
.vb   VBscript 文件
.vbe  Javascript 编码脚本文件
.vbs  VBscript 文件
建议汇总

由于目前不少病毒采用多种方式混合进行传播，因此对上面三类病毒的传播方式都要进行控制，方能有效地减少被病毒侵袭的可能，仅做一种处理，效果是不明显的。
对于执行防护措施时的操作方式，可以根据实际情况作一些考虑，下面是我们的一些实施建议：

第一阶段　制订策略
◆ 首先对网络中的主机进行分类，建议分为：普通用户、服务器、管理层用户。确定病毒防范策略，并对高层领导进行汇报，获得相应的处理权力的正式授权。
◆ 在目前的邮件服务器前端安装网关防毒产品(可选措施)，从网关过滤邮件病毒。
◆ 所有用户必须强制安装网络防毒客户端，不允许关闭、删除或者禁用，一旦发现将予以警告记录。
◆ 在目前邮件服务器上安装邮件防毒产品（需要进行合理配置，建议禁止危险附件邮件的接收和发送）。
◆ 采用域策略禁止任何人使用弱口令，发布口令策略说明，指导用户设置强度较高的口令。

第二阶段　日常工作
◆ 使用扫描工具定期检测网络中的弱口令和开放共享，对于弱口令用户进行警告，未能及时修补的，按照病毒防范策略进行断网或记入公司考评处理。
◆ 使用漏洞扫描器定期检查网络中存在漏洞的主机，对于存在严重安全问题的设备使用者进行警告，未能按期修补的，按照防范策略进行断网或记入公司考评处理。
◆ 网络防毒产品根据病毒防范策略定期定时进行扫描，每月进行汇总，对感染病毒次数最多的用户进行通报。
◆ 移动用户在可能的情况下，需要首先进行查杀病毒后方可接入网络。
◆ 根据安全通告级别，确定是否进入紧急处理状态，进入安全紧急状态时，安全管理员根据策略应具备相应的事件处理权力。

第三阶段　紧急事件
紧急事件状态是指当接受到安全服务商的较高级别安全通告或已经确认开始爆发蠕虫事件时，管理人员应该进行的应急处理工作。在这个状态下，安全管理员具有更多的权限：
◆ 进入紧急状态时，可以使用域登陆脚本给普通用户，尤其是非技术用户自动静默安装补丁。
◆ 对于已经感染病毒的服务器，通知到人，并且必须在当天完成杀毒和修补工作，否则将进行断网设置和通报备案。
◆ 对于存在问题但尚未感染的服务器，通知到人，并且必须在当天完成修补工作，否则将进行断网设置和通报备案。
◆ 对于高层管理人员的设备，安全管理员将协同系统管理员一起，直接为此类用户进行杀毒和修补工作。
◆ 根据安全服务商的其他建议，要求集成商或网络管理员进行临时性的访问控制、流量限制等工作。
从总体策略上来看，对于普通用户，尤其是非技术员工，尽量以自动和强制性执行的策略进行管理；对于服务器管理员，应该通过自主修补、安全管理员监督的方式管理；对于高层管理用户，则建议由安全管理员以直接支持的方式进行。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=542&categ_code=10041003