傳統的防毒軟體只能在病毒爆發後提供解藥,即是所謂的病毒代碼(Virus Pattern)。其實在新的病毒碼製作出來以前,這個階段是最關鍵性的時間——在這個階段,客戶希望能得到更多的病毒信息,其中包括攻擊對象、破壞方式以及最重要的暫時防止擴散的方式。這就好比病人在送醫途中的急救措施一樣,可以在病毒記潤局欲網絡擴散前防止病況惡。
比如説在Sircam 病毒疫情爆發時,可以在病毒碼公佈前,重新建立郵件規則;CodeRed攻擊網絡時,暫時關閉IIS服務;Nimda爆發時,趕緊關閉共享資料夾,不過大部分防毒業者往往只在意發佈病毒碼的速度,而不在這之前提供更多有關病毒的信息,目前全球的防毒廠商中,僅有趨勢科技提出相關的企業解決方案,這項名為"企業安全保護戰略 EPS(Enterprise Protection Strategy)",是一個創新的、突破傳統防毒軟體的機制,以更實時、更主動、更有系統的方式預防病毒擴散。
趨勢科技不只着重在加速提供新的病毒碼給客戶,更針對病毒碼製作發佈之前,以及病毒碼更新之後的善後工作,提供了一系列相關的産品和服務,包括:
(1) 防範階段-預防病毒爆發服務(Outbreak Prevention Service)
(2) 更新階段-病毒碼更新及部署(Update and Deploy)
(3) 分析階段-損害評估與善後清除(Damage Assessment and Cleanup)
其中預防病毒爆發服務是在病毒發現的第一時間內,趨勢科技立即針對病毒的特徵訂定企業防護的系統政策,再藉由預防病毒爆發服務(Outbreak Prevention Services)將這些系統政策自動激活、部署至整個企業形成一個安全防護網,來防止疫情的擴散。
當病毒疫情爆發時,企業網管人員打電話向防毒業者求救,通常會得到這樣的回答:我現在已經拿到樣本,今天之內一定會有解決方案。“負責貴單位的經理不在座位上,我請他給您回電。”趨勢科技的“企業安全保護戰略 EPS(Enterprise Protection Strategy)”將給企業完全不同的處理方式。以Nimda為例,在病毒碼出來之前,趨勢科技會依據 Nimda的主要感染途徑,給予企業以下的防範階段服務:
"企業安全保護戰略 EPS" 防範階段服務
以 Nimda 實例説明
提供詳細病毒"安全威脅"資料
主動提供 Nimda 的感染方式包含,
IE處理郵件MIME的漏洞、IIS 安全漏洞、有目錄分享的機器、網站、磁盤分享等等與緊急破解方法
根據病毒及惡性程序的行為提供相對應的"政策"
1.針對Nimda透過瀏覽Web,利用Java Scrip 下載病毒,建議利用Disable Java 組件,讓網絡內每台機器的Java暫停活動。
2.檢查每一個機器的 RICHED20.DLL 版本、 IIS 版本,及時更新老舊版本
3.回報中央控管系統計算機有目錄共享的計算器
4.在緊急階段,下指令,全網域只準收信不準寄信
將"政策"部署至企業網絡
因為每一個終端機都有安裝代理( Agent)程序,因此中央集中控制系統可與其它軟體溝通,將上述政策部署至企業網絡可有效控制災情。
企業可選擇是否要"自動化"部署政策
趨勢科技立即針對 Nimda 病毒的特徵訂定企業防護的系統政策後,可再藉由預防病毒爆發服務的將這些系統政策自動激活、部署至整個企業形成一個安全防護網,來防止疫情的擴散。
實時地"通告狀況"
中央控管系統可以實時地回報戰略部署狀況
根據趨勢科技在過去六個月針對企業用戶提供的預防病毒爆發服務的試用調查結果顯示:由於預防病毒爆發服務迅速的反應時間大大減低了的企業的損失至50%以下!而中央管理部署系統政策的方式,也讓必須要管理分散在世界各地的系統,都能有效率的部署這些防毒政策,解決了他們困擾以久的問題。究竟趨勢科技是如何辦到的呢?因為他們有世界第一家獲得國際品質ISO9002標準認可的全球防病毒研究暨技術支持中心-TrendLabs,ISO9002是最高的品質保證,確保趨勢科技為客戶所提供的服務,經由世界級品質管理系統把關。
<本週發病病毒>
7/13 July 13th 屏幕出現跳動小球
發源地 : 西班牙首都馬德里
病毒型態 : 文件感染型
病毒症狀 : .EXE文件長度增加 ; 屏幕顯示信息
感染狀況:
1990年4月, July 13TH病毒被Guillermo Gonzalez Garcia在馬德里分析並隔離。July 13TH是一隻一般的感染.EXE的文件型病毒, 但它並不會常駐在內存上。
當感染July 13TH病毒的程序被執行時, 病毒會試着去感染一個.EXE的文件。 它可不是隨便挑一支程序就感染的哦! 它只感染文件長度大過1,201 bytes的.EXE檔。 被感染的文件長度會增加1,201到1,209 bytes。
每年的7月13日就是July 13TH病毒的發病日。 當病毒發病時, 使用者會在屏幕上看到一顆小球在跳動, 這種狀況就很類似"乒乓球病毒"。 當它發病毒的時候, 除了感染文件外, 並不會對文件造成破壞。
7/16 Concept-G 竄改文字內容
發源地:美國
病毒型式:宏病毒
發病現象:出現多個窗口
修改文件
感染狀況:該病毒會感染 MS Word 文件。
Concept.G 內含七個大小為3670 bytes(僅能執行)宏
"K"
"A678"
"Para"
"Site"
"I8U9Y13"
"Paylaod"
"自動開啟"
當中毒文件被開啟時(自動開啟),Concept.G就會被激活。
一旦被激活,它就會感染共享模板 (NORMAL.DOT),中毒
的文件會在內部轉換成模板,這是宏病毒發作的普遍模
式。
Concept.G有多種活動。首先它會在中毒的文件中取代下
列文字:
"and" with "not"
第二個活動影響層面較大。它會在日的部份檢視系統時間
設定值,假如是16(即每個月16日),它就會開始活動,
取代中毒文件中的下列字及字母:
"." (頓號) 被改成 "," (逗點)
"and"被改成 "not"
"a" 被改成"e"
7/1-7/31:JulyKiller 七月殺手
別名:W97M_AUTOEXEC
來源:China 中國大陸
病毒型式:宏病毒
來自中國大陸的 July.Killer 七月殺手,將於 7 月 1 日至 7 月 31日發病。這只病毒是以簡體版中文寫成,但是會危害各種版本的 word 。當你打開一個遭感染的文件時,病毒即會擴散到Normal.dot 的模板文件。
病毒發病時,屏幕上 會 出現 一 個 「 醒 世 恒 言 」 的 簡 體 字 對 話 框 。使用者會有 3 次機會選擇「確定」或「取消」。如果選擇「正確」,將會出現諸如:恭喜你是個智者的對話框,若連續 3 次選擇「取消」將會出現 “現在,上帝就要懲罰你…” 。之後將會悄悄地開啟 autoexec.bat ,並寫入“deltree/y c:\" 破壞性的指令。 下次使用者開啟文件時即會刪除 C: 下所有的文件。
|
