如果Sasser 能在连"一只蚊子"都不放过、网络安全设施高达 4 亿美金的奥运会场都可以潜入,那幺你的企业呢?万一你的员工重新安装计算机,却没有安装修正程序, IT 人员该如何封锁突然洞开的门户?
雅典奥运遭 Sasser 攻击
在希腊雅典奥运刚开幕的第一周,位于第二新闻中心有位来自北京的记者,遭遇"不速之客"意外搅局,不但无法上网,计算机几乎被"废功",让他一整天都无法利用 Internet将实时新闻传回报社。该名记者在新闻稿中以自述性的口吻写道:" 这个"不速之客"叫"震荡波病毒"( 编按:即为Sasser,亦名为杀手),专门通过网络和记者们赖以生存的计算机过不去。只要让它缠上,你就不要再想上网,而且立即让你的计算机不能正常运转。"这只3个月前的病毒让他一天之内 3 次重新安装计算机系统,不过问题并没有因此解决,奥运竞技场上的活动正热烈,而他却只是在“第二战场"记者室里,与不断重复着「系统自动关机、重新激活、再次关机、再次激活….」的计算机搏斗,该报记者最后是以「赶紧把自身携带的杀毒软件强力升级」摆脱攻击。
该名记者并没有陈述其它计算机的感染状况,幸好此次奥运主办单位不只在防恐怖袭击方面布下天罗地网,更创历届之最的投入价值四亿美元的计算机保安,为避免病毒蠕虫攻击可能瘫痪奥运现场相关网络, 奥运会保安系统已经把一些重要的系统与网际网络隔离,以封闭系统运作,隔离可能产生的网络感染骨牌效应,可见"隔离政策"真是防止网络型病毒殃及更多无辜的先见之明。另外计算机中心也没有采用无线网络,甚至并未安装光驱、软驱等输入系统,尽力阻绝病毒可能入侵的途径。
防止网络病毒 3步骤:扫、挡、补
趋势科技表示Sasser 是利用 LSASS 漏洞,造成系统死机并自动重启。趋势科技亚太区技术顾问林义轩( Jay Lin)表示:「把防毒软件升级,却没有把漏洞补起来,只能将 Sasser 的攻击被动性地阻挡。因为LSASS漏洞是 Sasser 垂涎的肥羊,只要你的系统有该漏洞, Sasser 就会不断地来敲门,而你系统资源的20%-30%都会被耗费来阻挡 Sasser 攻击,网络效率自然缓慢无效率。」该名记者把防毒软件升级了,不知是否也补了漏洞?趋势科技认为个人用户要防止网络病毒重复感染,必须有「扫、挡、补」3 步骤:
1. 扫:升级防毒软件,扫描是否已遭 Sasser 感染,并加以清除
2. 挡:安装个人防火墙(市面上某些防毒软件已内建防火墙,如 PC-cillin2004)确认网络病毒侵入的端口已被封锁,如Sasser 为 TCP ports 5554 与 9996。
3. 补:立即至微软网站安装修正程序(Sasser 为 MS04-11),把漏洞填补起来,以免再度感染。
另外,趋势科技建议,如果您怀疑系统内有网络病毒的缠余势力,可利用趋势科技网站所提供的「损害清除服务(Damage Cleanup Services)」来个系统大扫毒,网址如下:http://www.trendmicro.com/download/dcs.asp
我们无从得知Sasser 如何潜入戒备森严的奥运会场,趋势科技 TrendLabs表示:「终端用户,是引进网络病毒的震荡波。」在趋势科技举办的 IT 经理人研讨会中,发现多数信息管理者最头痛的是员工薄弱的安全意识,导致一发不可收拾的网络灾难。其中终端用户最容易忽略的是,当被迫重新安装计算机时,忘记把补丁一起安装,甚至忘了安装客户端防毒软件。
计算机不会自动产生免疫力
有一个笑话说有位自作聪明的人中了计算机病毒,他想到一个方法:「把病毒关在计算机里让它闷死。」虽然这是一则笑话,相信仍有很多人对于安装修正程序这个攸关病毒是否叩门而入的先决关键,是采取以静制动的方式,然而这些以漏洞创造一波又一波感染高峰的计算机病毒如 Sasser,并不会随着时间流逝而自生自灭。
趋势科技 TrendLabs 资深防毒顾问 Jamz Yaneza 表示:「 Sasser 在5月份发病时,曾引发全球地病毒风暴,日前势科技全球病毒实时监控中心发现感染数目似乎有飙涨趋势,尤其以便种 Sasser.B 最为明显。」根据趋势科技全球病毒实时监控中心( Trend World Wide Virus Tracking Center)http://www.trendmicro.com/map/ 统计, Sasser 从 5 月开始爆发疫情至今,高峰期竟是在7月,而目前的感染率仍高居过去 24 小时、过去7天和过去30天内的第一名。目前感染计算机总数为550,950, 以亚洲区的印度、台湾、日本、中国大陆感染情况最严重。
Sasser 可能趁虚而入的可能性
Sasser 的案例不是个案,2001年9月引发全球网络警戒的 Nimda,在2002年前半年陆续使得Dispatch Online新闻网、微软、GameSpy Arcade游戏网站因感染 Nimda 而向客户致歉;今年5月新加坡教育部下令所有公立学校的计算机将暂时从 Internet「下线」,原因是由于Agobot 网络病毒会会将防火墙和防毒设置解除,并使黑客能远程遥控中毒计算机。(请见附件一)
希腊奥运会组织公布的安全措施中同时包括了防蚊子。据悉是为了防止人及马匹,感染上蚊子传播的"青尼罗河"病毒,而导致严重的疾病。如果Sasser能在连"一只蚊子"都不放过、网络安全设施高达4亿美金的奥运会场都可以潜入,那幺你的企业呢?你的员工可能因为以下的小动作,而让企业网络身陷丛林:
1. 开启或下载任何与色情相关的 eMail - I Love you 爱情虫 和 Melissa 梅莉莎的撰写者,就是利用色情网址与色情新闻群组作为诱饵。
2 至网络下载热门程序 - CIH 车诺比尔看准网民对于 ICQ 中文化程序的渴望,因而上载带毒档案,等待不知情者上钩。
3. P2P 抓文件 - Blast.B 疾风变种撰写者在他的网站中吹嘘自己的彪炳战果时,很得意地说:"我的p2p小虫通过 Kazaa 和 iMesh 散播,没啥大不了。" 帕森得意的雕虫小技,却也命重要害。目前混合型病毒也相当热衷于这个散播途径。
查缺补漏 及时升级病毒库
包含Bagle 在内愈来愈多的网络病毒都会终止防毒软件以及个人防火墙,造成无法侦测病毒攻击或黑客入侵。此举让中毒者暴露在非常危险的状况中,随时有可能再度感染流行中的病毒,并且让黑客有机会由后门窃取资料。
过去IT 困扰的问题是,「我如何能在第一时间知道哪一个终端用户的计算机防御系统已经失效,比如防毒软件被卸载或病毒码没有更新?」现在网络病毒让 MIS 愈加头痛欲裂,因为网络病毒最爱叮咬没有安装修正程序的机器,比如 Sasser 震荡波,即利用Windows LSASS的一个已知的缓冲溢出漏洞进行传播,没有安装微软相应修正程序的Win2000/XP等机器就会被震荡波病毒远程攻击而自动感染该病毒。
所以现在另一样让 IT 更头痛的是:「我如何知道哪一个机器还没有安装修正程序?」因为稍有迟疑,这些漏洞机器,全会成为病毒发射中心,不断地自网络中搜寻漏洞机器而导致网络频宽殆尽。
企业对抗网络病毒绝招
1:快速隔离漏洞高危险群才能避免交叉感染
以 Sasser震荡波为例,Trend Micro Vulnerability Assessment趋势科技弱点稽核 (TMVA)在病毒爆发前采取了两项主要步骤:
1. 步骤一:高危险漏洞,抢先安装:趋势科技 TrendLabs 漏洞稽核(Vulnerability Assessment)小组,将此漏洞评断为高度危险,列为强烈建议安装高危险漏洞。
2. 步骤二:监督未安装LSASS 修正程序的机器:趋势科技 TMVA 用户,可使用网络病毒特征码VA pattern #10 侦测没有安装修正程序的机器。任何未安装MS04-11修补程序的计算机,都会被 NetWork VirusWall 隔离。
2:强制终端用户安装防毒软件与最新病毒码
趋势科技全球防病毒研究暨技术支持中心-TrendLabs 表示,综观近年造成全球网络大灾难的病毒事件,全都利用个人用户微弱的安全意识下手,再借着 Internet 推波助澜。疾风变种 Blast.B 改写原始版本的 Blast ,然后通过 Kazaa 或者 iMesh等文件交换软件散播; Melissa 梅莉莎利用 AOL 偷来的帐号,到 alt.sex.usenet新闻网络群组张贴带有病毒的文件,CIH 则在当时热门的下载程序Windows 98 Service Pack 及 ICQ 中文化程序里暗藏病毒。趋势科技表示:「当我们把焦点放在软件漏洞、使用者未勤安装修正程序之际,其实安全意识薄弱的个人桌上机用户常常不自觉的成为网络病毒的帮凶。」管理 Client 端的确是个头痛问题,可以中央控制又可以防止使用者卸载的防毒软件,相形能减轻网管员的负担。若遇到类似Agobot 网络病毒卸载安全软件的例子,那幺可自动强制执行安全政策的机制,可以相对地减轻负担,以趋势科技的网络防毒墙Network VirusWall (NVW)在对抗Sasser震荡波为例,任何没有安装防毒软件或更新至最新病毒码pattern file #879的机器,不得上网,而且会被引导致相关位置安装 OfficeScan 客户端防毒软件。
