 加好友  发短信
等级:版主
帖子:10859
积分:14919
威望:1
精华:6
注册:2003/4/9 15:46:17
|
 Post By:2008/3/5 17:42:41 [只看该作者]
因为U盘也是近期的感染传播型木马传播途径之一.因此本文把U盘木马也归入本文讲解的范围. 本文涉及的感染传播型木马 不仅仅是指威金(worm.viking)或尼姆亚(worm.nimaya)包括了近期其他感染传播型木马
本文分做单机用户和局域网用户两部分来叙述
单机/局域网用户存在的共同的传播途径以及防范对策
一 U盘/移动硬盘
先说U盘/移动硬盘的防范原则.
1 如果你的U盘内的资料需要拷贝到其他的机子内,为了避免你的U盘被感染 请利用那个U盘的写保护. 一般U盘的侧面都有一个滑动开关.把它拨到锁定的位置就可以了(此点移动硬盘不适用)
2 如果你的U盘/移动硬盘需要到其他的机子拷贝资料.请首先在对方的机子的硬盘盘符上单击右键 看看有没有自动播放,如果没有则相对是安全的.如果有说明对方的机子是感染了U盘病毒需要将对方机子的病毒清理后(清理步骤见下文) 再插入U盘/移动硬盘进行数据拷贝.
3 如果是公司内部局域网尽可能采用公司内部FTP 以及QQ RTX等即时通讯工具进行文件交换
4 对于不明来源的或者经过他人使用U盘/移动硬盘 建议在特定的安全的机子中(比如淘汰的机器)中进行检查后,确认无毒 再予以使用(确认方式见下文清理部分)
U盘病毒的清理方式
在前文中说的自动播放实际上是因为驱动器的根目录下有一个文件名为autorun.inf这个文件在作怪.
因此清理步骤为
1 文件夹选项显示所有文件后,驱动器图标上 鼠标右键 选择打开 看到autorun.inf 用记事本打开找到他的EXE/PIF的文件名.记下记下该文件名
2 关闭记事本 删除autorun.inf 以及你记下的那个文件即可
3 除非有人特意为之 否则驱动器的根目录下不应该有autorun开头的各种文件 确认后可作病毒删除
4 有些病毒屏蔽了显示所有文件你可以在注册表中改回来 或者用RAR软件去打开隐藏的文件进行操作
二 网页木马也是感染型木马的流入途径
网页上各种形式的挂马 无不利用了微软的几个高危漏洞.因此无论什么机子 只要你是windows系统 不管你用什么办法 都要把补丁全部打上.不过这里我提醒大家 慎用 市面上的补丁集合.
三 文件捆绑的形式
如果你需要下载文件 尽量选择官方网站进行下载.下载完 记得杀毒.
下面谈谈分别单机和局域网中的传播以及防范和清理办法
感染型木马 以威金为例均具备自动传播能力,这也是杀毒软件厂商将其定义为worm(蠕虫)的原因.
很多人把防范这类蠕虫的传播的希望寄托在杀毒软件上面是一个很大的误区.对于蠕虫的防范应该使用具有特征过滤组件的的防火墙进行拦截.因为对于病毒的免杀是太容易了.但是改变一个病毒的行为却是很困难的事情,一旦改变行为意味着产生了新的不同种类的病毒.
根据这样的原理我们可以作出以下防御
局域网用户:
1 构建局域网中的单人掩体--------个人版防火墙在局域网中的应用
很多企业的网管 都认为在网关上加载一台硬件防火墙就OK了.其实这样的做法给感染传播型木马的传播带来很大的方便.况且不说硬件防火墙的性能如何, 只要有员工把感染了上述木马的U盘往局域网中的随便一台机子上一插.如果局域网中其余的机子没有良好的防护那么整个局域网会在极短的时间里面沦陷.因此局域网中的机子必须要有独立的防护体系
有人可能问投入资金的问题:人的智慧是无穷的 自己想想 怎么解决.
2 快速隔离已感染的机子: 一般而言蠕虫的大面积爆发可以通过流量看出来.企业的网管应该迅速切断 感染区域的机子与其他机子的联系,如果等全面沦陷 工作量会更大
3 杀毒软件的实时监控还是必要的
个人用户
除了补丁/防火墙/杀毒软件以外 还要养成良好的安全习惯.尽量不要登陆不明网站
对于已经感染了 威金/熊猫等感染传播型病毒的用户
可以下载专杀进行查杀(各大厂商都有提供也有民间的专杀比如农夫的威金杀虫剂等).也可以用杀毒软件进行查杀,但是这里需要强调的一点是 一定要选择清除病毒而不能选择删除病毒.因为这类病毒是感染和破坏EXE等文件因此我们的目的是修复被破坏的文件.而删除病毒是删除整个EXE 而不是对其进行修复.
对于尚未能查杀的病毒 可提取相应的文件 上报 等待升级
感染量小 而且有一定动手能力的用户 可以用 UE或者 hex 对被破坏的exe文件进行手工修复.
在本文的末尾,我还是强调”预防为主”,对于瑞星的用户建议在安装瑞星防火墙的同时,加载http://bbs.hzva.org 防火墙规则板块的规则包,予以最大限度上的阻断此类木马的感染.
|
|
