蠕虫和计算机病毒虽然被统称为病毒,但是二者还是存在很大区别。根据RFC以及Eugene Spafford的定义,蠕虫是指可以独立运行、能够自动把自己自动传播到另外计算机上的恶意程序。计算机病毒则是一段代码,不能独立运行、需要宿主程序运行来激活。计算机病毒还可以进一步细分为邮件病毒和普通病毒。蠕虫和邮件病毒能够设置后门程序,发动拒绝服务攻击,具有极强的传染性,是目前计算机网络面临的主要威胁之一。
对付蠕虫和邮件病毒的策略
蠕虫和邮件病毒不断进行传播和复制,积聚进攻能力。蠕虫通常利用系统漏洞进行入侵传播,邮件病毒则利用电子邮件系统以及用户安全意识的薄弱点作为突破口进行传播。
对付蠕虫和邮件病毒,建议用户采用基于单元的防御策略,对整个网络进行安全单元划分,保护容易感染的单元,将远程访问网段、具有Internet访问能力的网段与业务网段隔离,避免这些网段将蠕虫和邮件病毒进一步渗透到业务网段中来。同时,在一些关键网段之间如核心业务网段之间,也有必要进行隔离,即使一些计算机不慎感染了蠕虫或病毒,其影响也会被严格控制在该计算机所在的单元内,而不会通过网络扩散到其他单元,造成事态恶化。
对于Sobig.f、Mydoom这种邮件病毒和Slammer这种具有高传播能力的蠕虫,建议用户采用传染病学原理进行控制,利用网络监控系统快速发现感染计算机并实施控制措施;采取隔离措施,切断蠕虫和病毒的传播途径;对关键服务器进行安全加固,对客户端计算机进行补丁程序的集中升级和管理。
防范蠕虫和邮件病毒的技术要求
单一的防病毒网关技术、防火墙技术、入侵检测技术以及新出现的入侵防护技术都不能有效对付蠕虫和邮件病毒。全面防止蠕虫和邮件病毒,需要综合利用各种技术。具体来说,防病毒网关可以识别、阻断利用电子邮件传播的病毒,IPS(入侵防护)可以识别、阻断蠕虫传播时所采用的攻击手段以及蠕虫和邮件病毒留下的后门程序,IPS/Anti-DDoS/防火墙可以阻止蠕虫和邮件病毒发起的DoS/DDoS攻击,反垃圾邮件产品则对蠕虫病毒造成的大量垃圾邮件进行过滤。
目前,市场上出现了集成各种技术的抗蠕虫设备。冠群金辰KSG(Kill Shield Gateway)就是这样一款新型网关防御产品。KSG包括一个完整的病毒库,能够过滤各种已知的恶意代码,对电子邮件进行病毒检查和清除。KSG的入侵防御功能使管理员能够发现利用后门程序发起的攻击行为,进行实时阻断。KSG的抗DoS攻击功能可以阻断由病毒或木马程序发起的DoS攻击。
考虑人为因素
在蠕虫和邮件病毒传播过程中,计算机使用者是病毒传播的触发者,也是病毒传播的关键环节,使用者的计算机知识水平以及警觉性程度的高低决定了病毒所能造成的破坏程度。为了诱使人们执行病毒程序以进行传播和破坏,蠕虫和邮件病毒采用了各种手段。著名黑客Kevin Mitnick在《欺骗的艺术》一书中,强调了人为因素在整个病毒入侵过程中的关键作用。例如,Mydoom的编写者将包含病毒的邮件内容伪造成邮件系统自动发出的错误信息,具有极大的欺骗性,甚至能够蒙蔽一些计算机专业人员打开附件。可以说,对付蠕虫和邮件病毒是一场“人民的战争”,需要发动所有的计算机使用者投入进来。
