病毒技术动向:邮件附件.口令共享.漏洞传播
-
> 鉴于最近一段时间蠕虫病毒的流行,有必要采取一些技术和管理措施以降低病毒传播带来的对企业广域网和办公网的影响。与传统通过软盘、光盘方式传播的文件型和引导区病毒不同,目前病毒传播方式、使用技术和带来的危害已经有了较大的变化
流行病毒的新传播趋势有如下三种:
1、通过邮件附件传播病毒,如Sobig等邮件病毒;
2、通过无口令或者弱口令共享传播病毒,如Nimda、Mumu、Lovegate等;
3、利用操作系统或者应用系统漏洞传播口令,如冲击波蠕虫、Sqlslammer蠕虫等。
通过上面这些方式传播的病毒,由于其传播速度惊人,传统的防毒厂商通常无法及时地完成捕获病毒,分析病毒,发布升级包的过程,既使发布了升级包,也有很多用户无法在这么短的时间内将升级包发布到各个用户端上。
针对利用系统漏洞传播的病毒
目前通过系统漏洞传播的病毒的危害最严重。这种病毒是目前防毒厂商比较难于处理的。一方面,传统防毒厂商对系统漏洞的研究不够深入,往往不能及时地拿出全面的根本解决方案;另一方面,这种病毒的传播速度很快,对网络负载也有较大的影响,使得网络防毒产品也无法及时进行更新。
因此,对这种病毒的传播,应该是技术手段为辅,管理手段为主。可行的方式包括:
◆日常工作中,强制要求配置Windows Update自动升级(仅对Windows 2000/XP、且能够与互联网联通的系统有效)。
◆日常工作中,定期通过漏洞扫描产品查找存在漏洞的主机(但是部分漏洞无法通过这种方式进行确定),对发现存在漏洞的用户,要求定时升级,否则进行断网或者记录。
◆当安全服务商紧急公告发布时(通常是严重漏洞),给全体员工(或者是经过检查,尚未安装补丁的员工)下发安全通知,将安全补丁作为附件,要求立即安装补丁并重新启动,如果已经被感染,则附上专门的查杀工具,要求进行断网杀毒。也可以在域控制器上设置自动登录脚本,当用户登录时,强制安装安全补丁后重新启动,以帮助非技术用户尽快安装补丁。
◆ 对于已经感染病毒的主机,应该尽可能断网后进行处理,首先安装补丁,推荐使用专杀工具进行查杀,重新启动后即可。
针对通过共享和弱口令传播的病毒
严格来说,通过共享和弱口令传播的蠕虫大多也利用了系统漏洞。这类病毒会搜索网络上的开放共享并复制病毒文件,更进一步的蠕虫还自带了口令猜测的字典来破解薄弱用户口令,尤其是薄弱管理员口令。对于采用这种方式传播的病毒,需要技术和管理手段并行的方式进行。
◆对于支持域的内部网来说,需要在域控制器的域安全策略上增加口令强度策略,至少需要保证长度最小值为6,开启密码复杂度要求。开启密码过期策略对防护此种攻击作用不大。
◆定期对网络中的登录口令进行破解尝试,可以使用一些免费工具进行检查,发现可能存在的弱口令。存在弱口令的主机必须及时通知使用者修改,未及时关闭者将限制网络访问。
◆ 使用共享扫描工具定期扫描开放共享,发现开放共享的主机必须及时通知使用者关闭,未及时关闭者将限制网络访问。
针对通过始サ牟《?
这种病毒基本上可以通过技术手段解决。
◆使用防火墙对邮件附件进行过滤,保护Exchange服务器,如 Foritgate防火墙支持在防火墙上进行病毒或者附件检测和过滤。
◆使用网络邮件防毒网关,趋势和NAI均有专用的网关防毒产品。
◆在现有的Exchange服务器上安装邮件防毒产品,主要对通过附件方式传播的病毒进行防范。目前赛门铁克、趋势和NAI均有相应的产品。
◆在客户端(主要是Outlook) 限制访问附件中的特定扩展名的文件。Outlook 2002内置此支持,Outlook 2002之前的版本需要安装补丁方能支持附加安全控制。其他邮件客户端不支持此特性。
例如最近传播最多的Sobig病毒,病毒附件大多使用pif扩展名进行传播,只要在上面谈到的任何一种手段中禁止带有pif后缀的文件进入您的邮件服务器,即可防止此类病毒的扩散。除了.pif文件以外,可以被设置阻止运行的附件类型包括:
文件扩展名 文件类型
.ade Microsoft Access 项目扩展名
.adp Microsoft Access 项目
.bas Microsoft Visual Basic 类模块
.bat 批处理文件
.chm 已编译的 HTML 帮助文件
.cmd Microsoft Windows NT命令脚本
.com Microsoft MS-DOS 程序
.cpl 控制面板扩展名
.crt 安全证书
.exe 可执行文件
.hlp 帮助文件
.hta HTML 程序
.inf 安装信息
.ins Internet 命名服务
.isp Internet 通讯设置
.js Javascript 文件
.jse Javascript 编码脚本文件
.lnk 快捷方式
.mdb Microsoft Access 程序
.mde Microsoft Access MDE 数据库
.msc Microsoft 通用控制台文档
.msi Microsoft Windows 安装程序包
.msp Microsoft Windows 安装程序补丁
.mst Microsoft Visual Test 源文件
.pcd 照片 CD 图像,Microsoft Visual 编译脚本
.pif MS-DOS 程序的快捷方式
.reg 注册表项
.scr 屏幕保护程序
.sct Windows 脚本组件
.shb Shell 碎片对象
.shs Shell 碎片对象
.url Internet 快捷方式
.vb VBscript 文件
.vbe Javascript 编码脚本文件
.vbs VBscript 文件
网管员世界
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
- 文章评论
-
热门文章
爱思助手怎么导入微信
i苹果助手怎么修复闪退
2014年度十大手机排行
wifi万能钥匙怎么用啊
最新文章
手机如何安装电脑软件
使用Total Control手机
如何使用Total Control进行手机APP性能测试如何使用Total Control 在电脑端收发手机消如何使用Total Control 投屏录屏软件分享手Total Control电脑控制手机软件如何进行脚本
人气排行 一键刷机哪个好 四大安卓刷机软件评测手机SIM卡读不出来怎么办?手机SIM卡不识别解USB调试在哪里打开 手机USB调试模式设置大全完美刷机怎么救砖 手机变砖后怎么办爱思助手备份shsh教程 爱思助手怎么备份SHwifi万能钥匙怎么用啊 wifi万能钥匙电脑版逍遥安卓模拟器怎么用 逍遥安卓模拟器安装使苹果手机怎么退出恢复模式 怎么用爱思助手
查看所有0条评论>>