給MIS的6個防毒備忘錄(上)

2005/10/20 10:06:16 今天的網路安全有如MIS與駭客之間的攻防競賽。現在「Windows 自動更新」已經是極為有效的工具，而終端使用者也更容易在安全漏洞公佈之後盡快完成漏洞的修補。今天，一個安全漏洞一旦公佈，就等於宣佈這個安全漏洞即將失效，因為修補程式的推出，讓攻擊得逞機會對減少。但使用者不斷修補與病毒有關的安全漏洞，但是病毒也不斷嘗試以其他的方式發動攻擊。每次新的網路病毒現身之後，用來管理升級程式與修補程式的方法與工具都有顯著的提升。這也導致病毒作者的行動也跟著全力加速衝刺。

面對與時間競走的安全挑戰考驗，MIS 對抗病毒的任務愈加艱鉅。本文將根據我以往與病毒奮戰的經驗，分享看倌們幾個防毒備忘錄，相信這些基本防毒動作，能讓日常防毒管理工作更加輕鬆。

備忘錄1：將 16個檔案格式列入隔離名單

攻陷企業網路甚至讓郵件伺服器停擺，需要多高深的技巧呢？答案是只需要一個經過包裝過的信件主旨即可。趨勢科技只在高度風險時才會執行病毒紅色警戒，然而有趣的事，往往我們實驗室的警戒鈴聲大作經常都是起於一個以交談、假冒或口語用字等方式的字眼。這種所謂的社交工程陷阱（social engineering ）利用大?的疏於防範的小詭計，讓受害者掉入陷阱。

依據以往我們與病毒搏鬥的經驗，我們發現有些檔案特別容易為企業帶來內部或外部的災情。其中有些字眼你一定很熟悉，像是「你的密碼」、「蘇菲瑪索走光圖」、「免費星巴客咖啡券」..等等為名的檔案。建議 IT 部門設定閘道或郵件伺服器防毒軟體，刪除或隔離夾帶下列檔案的信件，避免員工因為一時好奇心而為企業帶來大禍。

諸如此類的安全威脅藉由操控電腦使用者以間接破壞電腦的手法，在病毒攻擊已形成重要角色，因為只要有一個人抗拒不了本身的好奇心看了郵件，採用安全弱點攻擊的病毒就可以在短時間內大行肆虐。後果可能導致用戶名單、密碼及網路結構被間諜軟體或網路釣客竊取出來。

1..VBE-- VBScript Encoded File
2..VBS-- VBScript Script File
3..JS-- JScript File
4..JSE-- JScript Encoded Script File
5..BAT-- Batch file
6..SHS-- Shell Script Object
7..PIF-- Shortcut to MS-DOS Program
8..CHM-- Compiled HTML Help File
9..WSF-- Windows Script File
10. .WSH-- Windows Scripting Host File
11. .SCR-- Screen Saver
12. .LNK--Shortcut
13. .COM--MS-DOS Application
14. .EXE-- Application
15. .DLL-- Application Extension
16. .CPL--Control Panel

備忘錄2. 將小於150KB的信件且附檔為.zip的檔案隔離

由於.zip檔常被用於公司內部正常信件，因此不能直接列入隔離名單內。除了前述附檔清單外，我發現最近還有很多病毒寄發.zip檔。根據觀察發現，很多病毒為了便於快速傳播，通常病毒信件寄出的zip檔不會超過100KB。因此MIS人員可設定閘道或郵件伺服器防毒軟體的同時，將符合下列兩個條件的信件加以過濾及阻擋：

a.附檔為.zip

b.整封信件的size小於150KB

通常病毒信件寄出的zip檔含信件文字內容不會超過150KB，而且一般使用者的含附件信件通常都會大於 150KB。因此建議將小於150KB的信件且附檔為.zip的檔案隔離。

(注意：若擔心誤殺使用者的重要檔案，設定時防毒軟體隔離規則時最好暫時勾選「隔離」。)

(未完待續)