给MIS的6个防毒备忘录

近年来病毒出现许多新型态的攻击手法，包括安全弱点攻击、间谍软件、网络钓鱼等等（其攻击特征如下表）。

上述的新型态攻击中，以安全弱点攻击最令企业措手不及，即使使用者不断修补与病毒有关的安全漏洞，但是病毒也不断尝试以其它的方式发动攻击。每当有新的网络病毒现身之后，用来管理升级程序与修补程序的方法与工具都会有显著的发展。

现在“Windows自动更新”已经是极为有效的工具，而终端使用者也更容易在安全漏洞公布之后尽快完成漏洞的修补。因此，病毒作者的行动也跟着全力加速冲刺。在今日的计算机市场上公布一个安全漏洞，就等于宣布这个安全漏洞即将失效。

因为一旦修补程序推出之后，攻击得逞机会将会相对减少-这是一场抢在机会永久消逝之前，将病毒投入火线的竞赛。面对与时间竞走的安全挑战考验，MIS对抗病毒的任务愈加艰巨。

本文将根据本人以往与病毒奋战的经验,，分享几个防毒备忘录，相信这些基本防毒动作，能让日常防毒管理工作更加轻松。

备忘录1.将 16个档案格式列入隔离名单

攻陷企业网络甚至让邮件服务器停摆，需要多高深的技巧呢？答案是只需要一个经过包装过的信件主旨即可。趋势科技只在高度风险时才会发布病毒红色警报，这经常都是因为一个以 交谈、假冒或口语用字等方式的字眼，导致红色警报警铃大作！这就是所谓的社交工程陷阱（social engineering ），其利用大众的疏于防范的小诡计，让受害者掉入陷阱。

诸如此类借着操控计算机使用者间接破坏计算机的手法，在病毒攻击行动中担任重要角色，因为往往只要有一个人抗拒不了本身的好奇心看了邮件，采用安全弱点攻击的病毒就可以在短时间内大行肆虐。后果可能导致用 户 名 单 、 用 户 密 码 及 网 络 结 构被间谍软件或网络钓客套取。

根据以往与病毒搏斗的经验, 下列类型档案容易成为未知型病毒的传播媒介, 造成内部或外部的病毒扩散灾情。建议IT部门设定网关或邮件服务器防毒软件，删除或隔离夹带下列档案的信件，避免员工因为一时好奇心点击或下载以“你的密码”、“苏菲玛索走光图”、“免费星巴客咖啡券”..等等为诱因的档案，引发灾难：

1..VBE VBScript Encoded File
2..VBS VBScript Script File
3..JS JScript File
4..JSE JScript Encoded Script File
5..BAT  Batch file
6..SHS  Shell Script Object
7..PIF  Shortcut to MS-DOS Program
8..CHM  Compiled HTML Help File
9..WSF  Windows Script File
10..WSH  Windows Scripting  Host File 
11..SCR  Screen Saver
12..LNK Shortcut
13..COMMS-DOS Application
14..EXE Application
15..DLL Application Extension
16..CPL Control Panel

备忘录2. 将小于150KB的信件且附档为.zip的档案隔离

除了前述的附文件清单之外,我发现最近很多病毒亦会寄发.zip文件,但是由于.zip文件可能是公司内部正常信件,因此不能直接列入隔离名单内。这时可由病毒的档案大小着手，根据观察发现，很多病毒为了便于快速传播，通常病毒信件寄出的zip文件不会超过100KB。因此可以设定网关或邮件服务器防毒软件的同时过滤符合下列两个条件的信件,加以block：

a.附件为.zip

.整封信件的size小于150KB

通常病毒邮件寄出的zip文件含邮件的文字内容不会超过150KB，而且一般使用者的含附件邮件通常都会大于 150KB。因此建议将小于150KB的邮件且附件为.zip的文件隔离。

注意：若担心误杀使用者的重要档案，设定时防毒软件隔离规则时最好暂时勾选“隔离”。

备忘录3. 全球爆发重大病毒灾情，等待病毒码空窗期，事前做好防范准备

还记得8月份ZOTOB贼头病毒大闹CNN新闻播报现场的事件吧？你当时是不是也担心你所服务的企业会成为下一个的受害者。由于现在病毒爆发的速度愈来愈快，再快应变的安全厂商也需要时间取得病毒样本研制解药，这时不一定要等到防毒厂商提供病毒码，只要知道病毒行为，企业网络也可以产生免疫力。以下以 ZOTOB为例，请你跟我一起这样做：

a.隔离病毒产生的特定文件名：WORM_ZOTOB.A病毒会植入BOTZOR.EXE到受害计算机，因此将现行防毒软件，设定隔离 BOTZOR.EXE，避免其进入系统。

注意：不可封锁系统档案，以免机器运作受到影响。

.封锁病毒攻击的特定 PORT: ZOTOB攻击 TCP 445/33333/8080 ，可启动客户端防毒软件的防火墙关闭上述特定Port。

注意：不可封锁封锁正常使用的Port会影响运作

c.封锁传播病毒的特定Email ：WORM_ZOTOB病毒有特定主旨、关键词和附件，因此可透过邮件过滤软件或网关防毒软件，设定条件过滤以下特征的邮件：

主旨：

**Warning** 
o Confirmed... 
o Hello 
o Important! 
o Warning! 
内文：
o 0K here is it! 
o hey!! 
o Looooool 
o That's your photo!!? 
o We found a photo of you in ...
附件：
（扩展名为以下任一o BAT、o CMD、o EXE、o PIF）
o image 
o loool 
o Photo 
o picture 
o sample 
o webcam_photo 
o your_photo

注意：上述工作也可以透过具备中央控管病毒爆发政策的防毒管理软件，集中派送到各对应的防毒软件, 藉以简化管理工作"

备忘录4. 网关扫描HTTP，避免网络钓鱼或间谍软件背景执行

近几个月来,很多病毒以HTTP为入侵管道,仅次于Email,很多用户都是浏览网页时中毒,甚至有些未更新IE patch的计算机浏览病毒网页时,病毒直接在背景执行,使用者根本不知道已经被植入病毒。除了假冒 eBay、Yahoo、CITIBANK 骗取密码的网络钓鱼页面，连近年大热门的 blog网站，也传出遭篡改，成为传播恶意程序的媒介。

因此建议建置可针对HTTP做扫描的网关防毒软件，并启用URL Filtering和Anti-Phishing功能,以降低病毒透过HTTP管道进入公司内部网络。

备忘录5. Firewall 隔离 6667 port，避免 bot 僵尸开后门

最近很多bot型的僵尸包含后门程序,甚至还偏好同时用多个漏洞攻击，例如：WORM_RBOT系列变种自2003年开始就不断跟着全球头号病毒一起采用相同漏洞发动攻击，其尾随的对象包含：WORM_ZOTOB.D 、Worm_SASSER 、WORM_MSBLAST、SQLSLAMMER 、PE_NIMDA 等恶名昭彰病毒。

要如何避免这些可以远程入侵系统的 bot傀儡虫暗中蚕食企业的生产力呢？我发现 bot僵尸偏好通过IRC protocol接收外部黑客的指令(例如自我更新病毒文件、Port scan等)。建议将公司对外Firewall的 6667 port 关闭且in/out都得挡。

若要达到更高的信息安全等级，建议在Firewall上内到外的rule设定采用正面列表,只开放允许的Port或服务(例如80、21等),其余内对外存取全都挡掉。另外，并留意Firewall内对外的6667联机，若有的话纪录IP并检查是否中毒，若没有侦测到，可能该机器已感染新型态变种病毒，这时可寻求防毒软件业者协助, 提供捕捉新病毒样本的方法。

备忘录6.其它防毒要点

- 管制实时通讯软件

- 强制移除匿名存取

- 取消共享账号

- 定期扫描重大安全漏洞

- Admin 权限限制

- 尽量减少具有Admin 权限的账号

- 密码复杂化, 且强制定期修改密码

防范病毒，就像防灾害准备一样，平时多一分准备，病毒爆发时少一分灾难。除了多留意防毒专家所发布的病毒警报，最好时常阅读本专栏，相信各位必能百毒不侵，拥有一个安全无毒的网络环境。

原文转自：http://www.ltesting.net