传统的防毒软件只能在病毒爆发后提供解药,即是所谓的病毒代码(Virus Pattern)。其实在新的病毒码制作出来以前,这个阶段是最关键性的时间——在这个阶段,客户希望能得到更多的病毒信息,其中包括攻击对象、破坏方式以及最重要的暂时防止扩散的方式。这就好比病人在送医途中的急救措施一样,可以在病毒记润局欲网络扩散前防止病况恶。
比如说在Sircam 病毒疫情爆发时,可以在病毒码公布前,重新建立邮件规则;CodeRed攻击网络时,暂时关闭IIS服务;Nimda爆发时,赶紧关闭共享资料夹,不过大部分防毒业者往往只在意发布病毒码的速度,而不在这之前提供更多有关病毒的信息,目前全球的防毒厂商中,仅有趋势科技提出相关的企业解决方案,这项名为"企业安全保护战略 EPS(Enterprise Protection Strategy)",是一个创新的、突破传统防毒软件的机制,以更实时、更主动、更有系统的方式预防病毒扩散。
趋势科技不只着重在加速提供新的病毒码给客户,更针对病毒码制作发布之前,以及病毒码更新之后的善后工作,提供了一系列相关的产品和服务,包括:
(1) 防范阶段-预防病毒爆发服务(Outbreak Prevention Service)
(2) 更新阶段-病毒码更新及部署(Update and Deploy)
(3) 分析阶段-损害评估与善后清除(Damage Assessment and Cleanup)
其中预防病毒爆发服务是在病毒发现的第一时间内,趋势科技立即针对病毒的特征订定企业防护的系统政策,再藉由预防病毒爆发服务(Outbreak Prevention Services)将这些系统政策自动激活、部署至整个企业形成一个安全防护网,来防止疫情的扩散。
当病毒疫情爆发时,企业网管人员打电话向防毒业者求救,通常会得到这样的回答:我现在已经拿到样本,今天之内一定会有解决方案。“负责贵单位的经理不在座位上,我请他给您回电。”趋势科技的“企业安全保护战略 EPS(Enterprise Protection Strategy)”将给企业完全不同的处理方式。以Nimda为例,在病毒码出来之前,趋势科技会依据 Nimda的主要感染途径,给予企业以下的防范阶段服务:
"企业安全保护战略 EPS" 防范阶段服务
以 Nimda 实例说明
提供详细病毒"安全威胁"资料
主动提供 Nimda 的感染方式包含,
IE处理邮件MIME的漏洞、IIS 安全漏洞、有目录分享的机器、网站、磁盘分享等等与紧急破解方法
根据病毒及恶性程序的行为提供相对应的"政策"
1.针对Nimda透过浏览Web,利用Java Scrip 下载病毒,建议利用Disable Java 组件,让网络内每台机器的Java暂停活动。
2.检查每一个机器的 RICHED20.DLL 版本、 IIS 版本,及时更新老旧版本
3.回报中央控管系统计算机有目录共享的计算器
4.在紧急阶段,下指令,全网域只准收信不准寄信
将"政策"部署至企业网络
因为每一个终端机都有安装代理( Agent)程序,因此中央集中控制系统可与其它软件沟通,将上述政策部署至企业网络可有效控制灾情。
企业可选择是否要"自动化"部署政策
趋势科技立即针对 Nimda 病毒的特征订定企业防护的系统政策后,可再藉由预防病毒爆发服务的将这些系统政策自动激活、部署至整个企业形成一个安全防护网,来防止疫情的扩散。
实时地"通告状况"
中央控管系统可以实时地回报战略部署状况
根据趋势科技在过去六个月针对企业用户提供的预防病毒爆发服务的试用调查结果显示:由于预防病毒爆发服务迅速的反应时间大大减低了的企业的损失至50%以下!而中央管理部署系统政策的方式,也让必须要管理分散在世界各地的系统,都能有效率的部署这些防毒政策,解决了他们困扰以久的问题。究竟趋势科技是如何办到的呢?因为他们有世界第一家获得国际品质ISO9002标准认可的全球防病毒研究暨技术支持中心-TrendLabs,ISO9002是最高的品质保证,确保趋势科技为客户所提供的服务,经由世界级品质管理系统把关。
<本周发病病毒>
7/13 July 13th 屏幕出现跳动小球
发源地 : 西班牙首都马德里
病毒型态 : 文件感染型
病毒症状 : .EXE文件长度增加 ; 屏幕显示信息
感染状况:
1990年4月, July 13TH病毒被Guillermo Gonzalez Garcia在马德里分析并隔离。July 13TH是一只一般的感染.EXE的文件型病毒, 但它并不会常驻在内存上。
当感染July 13TH病毒的程序被执行时, 病毒会试着去感染一个.EXE的文件。 它可不是随便挑一支程序就感染的哦! 它只感染文件长度大过1,201 bytes的.EXE檔。 被感染的文件长度会增加1,201到1,209 bytes。
每年的7月13日就是July 13TH病毒的发病日。 当病毒发病时, 使用者会在屏幕上看到一颗小球在跳动, 这种状况就很类似"乒乓球病毒"。 当它发病毒的时候, 除了感染文件外, 并不会对文件造成破坏。
7/16 Concept-G 窜改文字内容
发源地:美国
病毒型式:宏病毒
发病现象:出现多个窗口
修改文件
感染状况:该病毒会感染 MS Word 文件。
Concept.G 内含七个大小为3670 bytes(仅能执行)宏
"K"
"A678"
"Para"
"Site"
"I8U9Y13"
"Paylaod"
"自动开启"
当中毒文件被开启时(自动开启),Concept.G就会被激活。
一旦被激活,它就会感染共享模板 (NORMAL.DOT),中毒
的文件会在内部转换成模板,这是宏病毒发作的普遍模
式。
Concept.G有多种活动。首先它会在中毒的文件中取代下
列文字:
"and" with "not"
第二个活动影响层面较大。它会在日的部份检视系统时间
设定值,假如是16(即每个月16日),它就会开始活动,
取代中毒文件中的下列字及字母:
"." (顿号) 被改成 "," (逗点)
"and"被改成 "not"
"a" 被改成"e"
7/1-7/31:JulyKiller 七月杀手
别名:W97M_AUTOEXEC
来源:China 中国大陆
病毒型式:宏病毒
来自中国大陆的 July.Killer 七月杀手,将于 7 月 1 日至 7 月 31日发病。这只病毒是以简体版中文写成,但是会危害各种版本的 word 。当你打开一个遭感染的文件时,病毒即会扩散到Normal.dot 的模板文件。
病毒发病时,屏幕上 会 出现 一 个 「 醒 世 恒 言 」 的 简 体 字 对 话 框 。使用者会有 3 次机会选择「确定」或「取消」。如果选择「正确」,将会出现诸如:恭喜你是个智者的对话框,若连续 3 次选择「取消」将会出现 “现在,上帝就要惩罚你…” 。之后将会悄悄地开启 autoexec.bat ,并写入“deltree/y c:\" 破坏性的指令。 下次使用者开启文件时即会删除 C: 下所有的文件。
|
