(注意：不可封鎖系統檔案，以免機器運作受到影響。)

(注意：封鎖正常使用的Port會影響運作。)

主旨：

**Warning**
o Confirmed...
o Hello
o Important!
o Warning!

內文：

o 0K here is it!
o hey!!
o Looooool
o That's your photo!!?
o We found a photo of you in ...

附件：（副檔名為以下任一.bat、.cmd、.exe、.pif）

o image
o loool
o Photo
o picture
o sample
o webcam_photo
o your_photo

(注意：上述工作也可以透過具備中央控管病毒爆發政策的防毒管理軟體，集中派送到各對應的防毒軟體, 藉以簡化管理工作。)

備忘錄4. 閘道掃描HTTP，避免網路釣魚或間諜軟體背景執行

很多病毒以HTTP為入侵管道，導致很多用戶都是瀏覽網頁時中毒，甚至有些以未更新patch的IE瀏覽病毒網頁，病毒直接在背景執行，使用者根本不知道已經被植入病毒。除了假冒eBay、Yahoo、CITIBANK 騙取密碼的網路釣魚(phishing)頁面，連近年大熱門的部落格(blog)網站也傳出遭竄改，成為傳播惡意程式的媒介。

因此建議建置可針對HTTP做掃描的閘道防毒軟體，並啟用URL Filtering和Anti-Phishing功能,以降低病毒透過HTTP管道進入公司內部網路。

備忘錄5. Firewall 隔離 6667 port，避免bot傀儡蟲開後門

很多bot型的傀儡蟲包含後門程式，甚至還同時用多個漏洞攻擊。例如：WORM_RBOT系列變種自2003年開始就不斷跟著全球頭號病毒一起採用相同漏洞發動攻擊，包含：WORM_ZOTOB.D 、Worm_SASSER 、WORM_MSBLAST、SQLSLAMMER 、PE_NIMDA 等惡名昭彰病毒。

要如何避免這些從遠端入侵系統的 bot傀儡蟲暗中蠶食企業的生產力呢？根據研究，bot傀儡蟲偏好透過IRC protocol接收外部駭客的指令(例如自我更新病毒檔案、Port scan等)。建議將公司對外Firewall的 6667 port 關閉且in/out都得擋。

若要達到更高的資訊安全等級，建議MIS在Firewall上內到外的rule設定採用正面列表，只開放允許的Port或服務(例如80、21等)，其餘內對外的存取全都擋掉。另外也要留意Firewall內對外的6667連線，若有的話紀錄IP並檢查是否中毒。若沒有偵測到，可能該機器已感染新型態變種病毒，這時可尋求防毒軟體業者協助, 提供捕捉新病毒樣本的方法。

備忘錄6.其他防毒要點