病毒技术动向：邮件附件.口令共享.漏洞传播

　鉴于最近一段时间蠕虫病毒的流行，有必要采取一些技术和管理措施以降低病毒传播带来的对企业广域网和办公网的影响。与传统通过软盘、光盘方式传播的文件型和引导区病毒不同，目前病毒传播方式、使用技术和带来的危害已经有了较大的变化

　　 流行病毒的新传播趋势有如下三种：

　　 1、通过邮件附件传播病毒，如Sobig等邮件病毒；

　　 2、通过无口令或者弱口令共享传播病毒，如Nimda、Mumu、Lovegate等；

　　 3、利用操作系统或者应用系统漏洞传播口令，如冲击波蠕虫、Sqlslammer蠕虫等。

　　 通过上面这些方式传播的病毒，由于其传播速度惊人，传统的防毒厂商通常无法及时地完成捕获病毒，分析病毒，发布升级包的过程，既使发布了升级包，也有很多用户无法在这么短的时间内将升级包发布到各个用户端上。

　　针对利用系统漏洞传播的病毒

　　目前通过系统漏洞传播的病毒的危害最严重。这种病毒是目前防毒厂商比较难于处理的。一方面，传统防毒厂商对系统漏洞的研究不够深入，往往不能及时地拿出全面的根本解决方案；另一方面，这种病毒的传播速度很快，对网络负载也有较大的影响，使得网络防毒产品也无法及时进行更新。

　　因此，对这种病毒的传播，应该是技术手段为辅，管理手段为主。可行的方式包括：

　　◆日常工作中，强制要求配置Windows Update自动升级（仅对Windows 2000/XP、且能够与互联网联通的系统有效）。

　　◆日常工作中，定期通过漏洞扫描产品查找存在漏洞的主机（但是部分漏洞无法通过这种方式进行确定），对发现存在漏洞的用户，要求定时升级，否则进行断网或者记录。

　　◆当安全服务商紧急公告发布时（通常是严重漏洞），给全体员工（或者是经过检查，尚未安装补丁的员工）下发安全通知，将安全补丁作为附件，要求立即安装补丁并重新启动，如果已经被感染，则附上专门的查杀工具，要求进行断网杀毒。也可以在域控制器上设置自动登录脚本，当用户登录时，强制安装安全补丁后重新启动，以帮助非技术用户尽快安装补丁。

　　◆ 对于已经感染病毒的主机，应该尽可能断网后进行处理，首先安装补丁，推荐使用专杀工具进行查杀，重新启动后即可。

　　针对通过共享和弱口令传播的病毒

　　严格来说，通过共享和弱口令传播的蠕虫大多也利用了系统漏洞。这类病毒会搜索网络上的开放共享并复制病毒文件，更进一步的蠕虫还自带了口令猜测的字典来破解薄弱用户口令，尤其是薄弱管理员口令。对于采用这种方式传播的病毒，需要技术和管理手段并行的方式进行。