大家小心：防范愚人节爆发的Conficker病毒

所有 · 发表于 2009-4-1 10:31:05

转自：http://tech.ccidnet.com/art/1099/20090330/1724973_1.html

发布时间：2009.03.31 08:58 来源：赛迪网作者：木淼鑫

【赛迪网-IT技术报道】随着2009年4月1日的临近，针对可能于愚人节大规模爆发的Win32/Conficker.C蠕虫病毒，笔者采访了天融信资深安全专家刘扬，请其针对这一威胁给出了相应安全建议。天融信资深安全专家刘扬认为，这个Win32/Conficker.C是在去年10月爆发过的“.a”变体和今年1月爆发过的“.b”变体基础上变化而来。这次这个.c蠕虫变体新加了时间触发机制，并采取随机生成5万个随机域名来躲避封杀，这些域名基本都没有注册。它每天用某种算法选取500个地址去和黑客控制的服务器联系升级，确保其存活率。这样可能会出现DNS服务请求繁忙的现象。刘扬提示前两次爆发在国内都没有出现类似国外那样几十万台电脑被感染的情况，他相信这次爆发只要在以下3个方面做好准备，也不会有大问题，因此请大家大可不必惊慌。 一、系统方面 (1)打好补丁。由于该蠕虫是利用微软去年10月发布的MS08-067的RPC漏洞来传播的，最关键的是要确认内部网所有机器，包括个人电脑，服务器，无论是否接入互联网都要打上补丁。参考链接如下： http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx (2)计算机用户在浏览Web网页时，务必打开计算机系统中防病毒软件的“网页监控”功能。同时，计算机用户应及时下载安装操作系统已安装应用软件的最新漏洞补丁或新版本，防止恶意木马利用漏洞进行入侵感染操作系统。 (3)用户使用杀毒软件务必即时、充分升级，每天升级2到3次以上，以保证病毒库获取最新信息。 (4)尽可能关闭不用的服务。 (5)关闭移动介质特别是U盘Autorun的功能。对个人电脑或精通电脑的人我们可以按照以上方式来提升系统对Win32/Conficker.C病毒的防范，但对企业来讲，会有上百台或更多的计算机，让网络管理人员逐台去调整PC的安全策略是不现实的。可以通过部署类似天融信TSM-TopDesk的终端安全管理系统，统一制定安全策略，综合防范，启用以下安全策略： ·启用补丁管理分发策略 TSM-TopDesk 提供了桌面系统补丁管理的功能，帮助管理员对网内基于Windows 2000/XP/2003等机器快速部署最新的重要更新和安全更新。TopDesk能检测桌面系统已安全的补丁和需要安装的补丁，管理员能通过Console对桌面系统下发安装未安装补丁的命令。管理员可从微软网站自动下载更新补丁库，并审核是否允许桌面系统安装。通过策略定制，桌面系统可以自动检测、下载和安装补丁，或根据用户的要求自动执行已下发的软件。针对本次即将可能发生安全事件，对于此补丁，要采用强制下发策略，这样将保证网络中的每台电脑、服务器将及时更新补丁，并且没有遗漏。 ·启用杀毒软件的检测策略 TSM-TopDesk 提供了对主机的杀毒软件的检测功能，可检测主机运行的杀毒软件版本和杀毒软件病毒库版本及升级时间等，保障网络中的计算机即时更新病毒库，目前支持检测国内外绝大多数流行的杀毒软件，包括：瑞星、诺盾、MacAfee、卡巴斯基等。 ·启动禁止移动介质自动播放策略很多木马病毒都是通过自动运行来执行的，因此在打开移动介质设备时，尽量不使用自动运行，而通过浏览器或者资源管理器来打开，但是在应用过程中经常会自动运行，所以我们通过控制中心指定策略，关闭操作系统中自动播放功能，从而减少病毒的传播。对于不需要或不允许通过USB接口或蓝牙等方式读取移动介质时，我们则对其接口启用禁止读写策略，提升系统安全。 ·启动主机日志审计策略 TSM-TopDesk提供对系统日志、安全日志、应用程序写入的系统日志、其它服务（如DNSServer）日志等的审计与分析预警，设置策略，通过分析日志，监控对系统服务的开启和停止情况，及时预警。例如，Win32/Conficker.C病毒会，如果这个服务正在运行，蠕虫就会使这个服务失效：

wscsvc – 安全中心 wuauserv – 自动更新 BITS - Background Intelligent Transfer Service ERSvc - Error Reporting Service WinDefend - Windows Defender (Vista中使用的) WerSvc - Windows Error Reporting Service (Vista中使用的) ……

当TSM-TopDesk发现以上服务被停止时，此终端可能感染此病毒，通过管理员加强对此终端的维护及启动响应策略。 二、网络方面 对于蠕虫类病毒，从网络途径入侵是一个重要的手段之一，对用户来讲，需要一个安全的内网，我们在内网采取的各种安全策略，但是更希望把威胁阻挡在网络之外，所以我们在网络边界部署天融信防病毒网关和防火墙，同时主要做以下优化配置： (1)及时更新防毒墙的病毒库，如防毒墙与互联网相同则采用自动更新模式，利用防病毒网关对SMTP、POP3、IMAP、HTTP和FTP等应用协议进行病毒扫描和过滤，有效地防止可能的病毒威胁，并可以实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断，从而有效防止企业网络因遭受蠕虫攻击而陷于瘫痪。 (2)建议防火墙默认配置为禁止模式，没有明确允许的访问全部被禁止。 (3)优化防火墙配置，建议通过阻断策略封锁TCP 445端口。 (4)通过防火墙实时监控的功能，对UDP 53 域名请求，TCP 445端口做重点监控。 (5)通过配置防火墙深度内容监测中的DNS服务，对于域名请求的报文进行日志审计。 (6)加强对内部DNS服务器运行状态的监控。 三、管理和审计方面 人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，是第一位的要素，同时也是最脆弱的，所以要建立一个良好的网络环境，我们要借助技术实现我们的目标，同时也需要技术和制度来规范我们的行为，例如： (1)加强安全意识的教育，培育良好的上网习惯。不浏览不良网站，不随意下载安装可疑插件；不接收QQ、MSN、Email等传来的可疑文件。 (2)通过天融信的网络行为审计系统，及时了解我们对网络的应用情况，通过审计分析来促进我们信息系统的安全策略的调整。 (3)加强对移动介质的管理，在通过天融信的TSM-TopDesk对主机的监控同时，我们制定合理的工作制度，完善我们的管理安全。

(责任编辑：李磊)

【相关文章】 Downadup(Conficker)或于4月1日展开新攻击警惕：愚人节黑客可能发动史上最强网络攻击利用愚人节　Conflicker变种将发动攻击

[ 本帖最后由所有于 2009-4-1 10:32 编辑 ]