上次,我跟大家分析了有关 <<局域网病毒入侵原理及防范方法>> ,今天我们接着来说,怎么防患于未然.杜绝病毒进入网络行之有效的方法.

        大家多清楚,近年来病毒出现许多新型态的攻击手法，包括安全弱点攻击、间谍软件、网络钓鱼等等.其中通过邮件附带的非常的多.

　　上述的新型态攻击中，以安全弱点攻击最令企业措手不及，即使使用者不断修补与病毒有关的安全漏洞，但是病毒也不断尝试以其它的方式发动攻击。每当有新的网络病毒现身之后，用来管理升级程序与修补程序的方法与工具都会有显著的发展。现在「Windows 自动更新」已经是极为有效的工具，而终端使用者也更容易在安全漏洞公布之后尽快完成漏洞的修补。因此，病毒作者的行动也跟着全力加速冲刺。在今日的计算机市场上公布一个安全漏洞，就等于宣布这个安全漏洞即将失效。因为一旦修补程序推出之后，攻击得逞机会将会相对减少-这是一场抢在机会永久消逝之前，将病毒投入火线的竞赛。

　　面对与时间竞走的安全挑战考验，我们,特别网络管理人员对抗病毒的任务愈加艰巨。本文将根据本人以往与病毒奋战的经验,，分享几个防毒必杀技，相信这些基本防毒动作，能让日常防毒管理工作更加轻松。

必杀技1.将 16个档案格式列入隔离名单

　　攻陷企业网络甚至让邮件服务器停摆，需要多高深的技巧呢？答案是只需要一个经过包装过的信件主旨即可。经常都是因为一个以 交 谈 、 假 冒 或 口 语 诱惑用 字 等 方式的字眼，导致病毒大作！！这就是所谓的社交工程陷阱（social engineering ），其利用大众的疏于防范的小诡计，让受害者掉入陷阱。诸如此类借着操控计算机使用者间接破坏计算机的手法，在病毒攻击行动中担任重要角色，因为往往只要有一个人抗拒不了本身的好奇心看了邮件，采用安全弱点攻击的病毒就可以在短时间内大行肆虐。后果可能导致用 户 名 单 、 用 户 密 码 及 网络 结 构被间谍软件或网络钓客套取。

        根据以往与病毒搏斗的经验, 下列类型档案容易成为未知型病毒的传播媒介, 造成内部或外部的病毒扩散灾情。建议 IT 部门设定网关或邮件服务器防毒软件，删除或隔离夹带下列档案的信件，避免员工因为一时好奇心点击或下载以「你的密码」、「我男朋友的照片」、「表妹小燕」..等等为诱因的档案，引发灾难：

1.　.VBE　VBScript Encoded File
2.　.VBS　VBScript Script File
3.　.JS JScript File
4.　.JSE　JScript Encoded Script File
5.　.BAT Batch file
6.　.SHS　Shell Script Object
7.　.PIF　Shortcut to MS-DOS Program
8.　.CHM Compiled HTML Help File
9.　.WSF　Windows Script File
10.　.WSH Windows Scripting Host File
11.　.SCR　Screen Saver
12.　.LNK 　Shortcut
13.　.COM　MS-DOS Application
14.　.EXE　Application
15.　.DLL　Application Extension
16.　.CPL　Control Panel

必杀技2. 将小于150KB的信件且附档为.zip的档案隔离

　　除了前述的附文件清单之外,我发现最近很多病毒亦会寄发.zip檔,但是由于.zip档可能是公司内部正常信件,因此不能直接列入隔离名单内。这时可由病毒的档案大小着手，根据观察发现，很多病毒为了便于快速传播，通常病毒信件寄出的zip档不会超过100KB。因此可以设定网关或邮件服务器防毒软件的同时过滤符合下列两个条件的信件,加以block：

a.附档为.zip

b.整封信件的size小于150KB

　　通常病毒信件寄出的zip文件含信件文字内容不会超过150KB，而且一般使用者的含附件信件通常都会大于 150KB。因此建议将小于150KB的信件且附档为.zip的档案隔离。

　　注意：若担心误杀使用者的重要档案，设定时防毒软件隔离规则时最好暂时勾选「隔离」。

必杀技3. 全球爆发重大病毒灾情，等待病毒码空窗期，事前做好防范准备

　　还记得05年8月份ZOTOB 在线幽灵大闹CNN 新闻播报现场的事件吧？你当时是不是也担心你所服务的企业会成为下一秒的受害者。由于现在病毒爆发的速度愈来愈快，再快应变的安全厂商也需要时间取得病毒样本研制解药，这时不一定要等到防毒厂商提供病毒码，只要知道病毒行为，企业网络也可以产生免疫力。以下以 ZOTOB为例，请你跟我一起这样做：

　　a.隔离病毒产生的特定文件名：WORM_ZOTOB.A病毒会植入BOTZOR.EXE到受害计算机，因此将现行防毒软件，设定隔离 BOTZOR.EXE，避免其进入系统。

　　注意：不可封锁系统档案，以免机器运作受到影响。

　　b.封锁病毒攻击的特定 PORT: ZOTOB攻击 TCP 445/33333/8080 ，可启动客户端防毒软件的防火墙关闭上述特定Port。

　　注意：不可封锁封锁正常使用的Port会影响运作

　　c.封锁传播病毒的特定Email ：WORM_ZOTOB病毒有特定主旨、关键词和附件，因此可透过邮件过滤软件或网关防毒软件，设定条件过滤以下特征的邮件：

主旨：

**Warning**
·Confirmed...
·Hello
·Important!
·Warning!

内文：
·0K here is it!
·hey!!
·Looooool
·That's your photo!!?
·We found a photo of you in ...

附件：（扩展名为以下任一. BAT、. CMD、.EXE、.PIF）

·image
·loool
·Photo
·picture
·sample
·webcam_photo
·your_photo

　　注意：上述工作也可以透过具备中央控管病毒爆发政策的防毒管理软件，集中派送到各对应的防毒软件, 藉以简化管理工作"

必杀技4. 网关扫描HTTP，避免网络钓鱼或间谍软件背景执行

　　近几个月来,很多病毒以HTTP为入侵管道,仅次于Email,很多用户都是浏览网页时中毒,甚至有些未更新IE patch的计算机浏览病毒网页时,病毒直接在背景执行,使用者根本不知道已经被植入病毒。除了假冒 eBay、Yahoo、CITIBANK 骗取密码的网络钓鱼页面，连近年大热门的 blog 部落格网站，也传出遭窜改，成为传播恶意程序的媒介。

　　因此建议建置可针对HTTP做扫描的网关防毒软件，并启用URL Filtering和Anti-Phishing功能,以降低病毒透过HTTP管道进入公司内部网络。

必杀技5. Firewall 隔离 6667 port，避免 bot 傀儡虫开后门

　　最近很多bot型的傀儡虫包含后门程序,甚至还偏好同时用多个漏洞攻击，例如：WORM_RBOT系列变种自2003年开始就不断跟着全球头号病毒一起采用相同漏洞发动攻击，其尾随的对象包含：WORM_ZOTOB.D 、Worm_SASSER 、WORM_MSBLAST、SQLSLAMMER 、PE_NIMDA 等恶名昭彰病毒。

　　要如何避免这些可以远程入侵系统的 bot傀儡虫暗中蚕食企业的生产力呢？我发现 bot傀儡虫偏好透过IRC protocol接收外部黑客的指令(例如自我更新病毒档案、Port scan等)。建议将公司对外Firewall的 6667 port 关闭且in/out都得挡。

　　若要达到更高的信息安全等级, 建议在Firewall上内到外的rule设定采用正面列表,只开放允许的Port或服务(例如80、21等),其余内对外存取全都挡掉。另外，并留意 Firewall内对外的6667联机,若有的话纪录IP并检查是否中毒，若没有侦测到，可能该机器已感染新型态变种病毒，这时可寻求防毒软件业者协助, 提供捕捉新病毒样本的方法。

必杀技6.其它防毒要点

-管制实时通讯软件
-强制移除匿名存取
-取消共享账号
-定期扫描重大安全漏洞
-Admin 权限限制
-尽量减少具有Admin 权限的账号
-密码复杂化, 且强制定期修改密码

　　防范病毒，就像防台准备一样，平时多一分准备，病毒爆发时少一分灾难。除了多留意防毒专家所发布的病毒警讯，最好时常阅读 我们动物家园(ww.kingzoo.com)计算机安全咨询中心，相信各位必能百毒不侵，拥有一个安全无毒的网络环境。

本文出自 “木马屠夫” 博客，转载请与作者联系！

本文出自 51CTO.COM技术博客