企业信息安全管理

∙利用密码字典攻击法登入Admin$\\system32文件夹执行病毒档案，并在工作排程中新增工作项目产生病毒档案 

∙在可携式磁盘驱动器与网络磁盘驱动器中产生病毒档案与Autorun.inf，可透过USB可携式装置感染其它系统 

∙主动链接特定URL下载其它病毒档案

针对上述特性，趋势科技提供了以下几项建议：

未定期更新修正程序，生产线与OA区网络没有做实体切割

WORM_DOWNAD一开始出现，是透过MS08-067的弱点攻击操作系统，由于该病毒出现时修正程序刚发布不久，许多企业还来不及更新操作系统。部分企业因生产线无法停工，安装修正程序需要排期规划。一旦遇上攻击系统弱点的病毒，很容易就在短时间内就快速散播，只有安装修正程序才能避免遭受病毒再次攻击。若无法在短时间内安装修正程序，请务必将生产线与OA区网络做实体切割，一般生产线的机器并不需要可以连接Internet，若没有将网络做实体切割，病毒很可能由OA区攻击生产线的计算机，严重时可能会瘫痪生产线造成企业很大的损失。

管理者账户密码没有定期更新，没有规定密码复杂度

趋势科技工程师在处理几家企业的病毒问题时，常发现明明这家公司都有更新了系统的修正程序，却仍然还有WORM_DOWNAD病毒在内部流窜，检查后才发现一般网络安全人员在为公司计算机安装系统时，大多使用Ghost等备份软件以便节省安装系统的时间，而使用者可用网域账户登入系统执行操作。该做法虽然省时省力，却忽略了本机的管理者账户密码未修改的风险。而后期的WORM_DOWNAD病毒，利用字典密码攻击法的方式，使用常见的密码清单尝试登入Admin$植入病毒档案并执行。所以就算系统已经安装了最新的修正程序，仍然会被植入病毒档案。因此，建议信息人员在安装系统后立即修改系统管理者的密码，且必须要有足够的复杂度，或是停用本机管理者账号。若用户使用网域账户登入系统，建议企业内部应制定策略定期更新使用者密码，避免病毒利用字典密码攻击法的方式散播病毒。

未设置HTTP网关端防毒，无法拦截特定档案类型

Web Threat已经是近几年来病毒散播的趋势，利用HTTP通讯协议下载恶意程序到计算机中，不易防堵。WORM_DOWNAD同样也会透过HTTP的方式下载其它恶意程序至受感染的计算机。但我们发现仍有少数企业未针对HTTP的通讯协议建置防毒。使得病毒容易透过网页的方式感染客户端，不只WORM_DOWNAD病毒，许多时下常见的特洛伊木马或后门程序也大多由HTTP而来，是最不容易预防的一个感染来源。因此，我们建议企业应建置HTTP网关端防毒，除了控管使用者能存取的网页类型与过滤恶意网站外，最好能设定阻挡特定的档案类型，例如scr、pif、exe等执行文件，并使用True File Type扫描才能识别档案的真正类型。

开启防火墙，记录攻击来源

建议一般客户端可开启防火墙来阻挡这类的网络型病毒，而且透过系统弱点攻击计算机的病毒大多会在防火墙留下记录，信息人员可根据防火墙的记录文件搜寻攻击来源的IP，一方面利用防火墙阻止病毒扩散，另一方面可迅速寻找感染病毒的来源客户端。

外来使用者或笔记本用户没有适当的管理，资产管理并不完善

我们在碰到某些客户处理WORM_DOWNAD病毒问题时，虽然根据病毒纪录文件可以找到感染来源的IP，但少数企业因资产管理不够完善，可能会无法找到某些IP所对应的客户端是在哪里，所以无法彻底解决病毒问题。还有的信息人员认为已经设有防火墙，病毒到底是从何而来？等找到感染来源时才发现，原来是笔记型计算机的使用者从外面把病毒带到企业里，或是使用者擅自使用3G网卡上网而下载到病毒档案。有些甚至是合作厂商来检测或维护设备时将自己携带的计算机接上公司网络，病毒就从这些地方扩散至整个网络。正因为这部分的使用者较难掌控计算机的状况，常常变成病毒爆发的感染来源，使信息人员疲于奔命。所以趋势科技建议信息人员可以针对外来使用者与笔记型计算机用户规划的网络区域，避免病毒经由内部网络感染OA区的计算机。平时资产管理务必确实执行，了解公司内部计算机的IP信息，方便查阅，可迅速找出感染来源，以免延误时机造成难以收拾的状况。

部分客户端没有安装防毒软件

这样的问题其实是常常会发生的，有的也许是因为环境的或是操作系统太过老旧，无法安装防毒软件，当企业内部有病毒问题时才会发现原来仍有少数客户端是没有安装防毒软件，或是使用者任意卸载或停用防毒软件，造成网络安全环境产生弱点。

控管USB装置，停用自动播放功能

USB装置的大量普及，成了病毒散播的管道之一，就算计算机不能连接Internet，透过USB装置病毒仍旧可以攻击其它计算机。WORM_DOWNAD感染计算机后会搜寻USB装置并植入autorun.inf与病毒档案，倘若使用者在中毒的计算机上使用USB装置，USB装置就会夹带病毒档案，只要将中了毒的USB装置拿到其它计算机使用，病毒就可由此感染其它计算机。趋势科技建议信息人员应严格控管USB装置的使用，并建议停用USB装置自动播放功能，避免装置一插入系统中就自动执行病毒档案。如何停用USB装置请参考技术通报-USB病毒防治要点

分享文件夹没有做好权限控管

档案服务器通常是病毒大量扩散的一个关键点，因为档案服务器就是提供使用者分享数据与档案，一旦档案服务器感染病毒，只要使用者去存取档案服务器上的档案，病毒就会由此感染自己的计算机。WORM_DOWNAD病毒会将病毒档案植入网络磁盘驱动器中，诱使使用者执行以便感染其它计算机。所以趋势科技建议您，若非必要，管理者应将分享文件夹设定为只读，或是针对使用者的性质给予不同的存取权限，可降低病毒利用分享文件夹散播病毒的风险。

WORM_DOWNAD病毒使用多种不同管道散播病毒档案，对企业网络安全环境造成非常大的冲击，趋势科技提供上述建议供信息人员参考，若您的企业曾经有过上述的情况，请根据内部的感染情况理清企业潜藏的风险威胁，尽早制定或修改信息安全策略，避免再次因病毒爆发而让企业造成损失。

近期趋势科技发现了DOWNAD病毒的新变种 - WORM_DOWNAD.KK。该病毒一样透过MS08-067的弱点攻击计算机。与之前的DOWNAD病毒相比，WORM_DOWNAD.KK具有以下特性： 

∙连接特定的时间服务器来确认目前的日期与时间，该病毒预计在4/1发作 

∙删除特定登录值让使用者无法进入安全模式 

∙不允许用户使用与信息安全相关的程序（包含procexp、regmon、autoruns、gmer等等工具） 

∙封锁客户端连结与信息安全或防毒软件相关的网站 

∙根据当前的时间一次产生五万个恶意程序网址并试图在同一时间内随机

计算机信息系统由多种设备、设施构成，因为种种原因，其面临的威胁是多方面的。总体而言，这些威胁可以归结为3大类，一是对信息系统设备的威胁，二是对业务处理过程的威胁，三是对数据的威胁。因为信息系统与人们的现实经济生活关系日益密切，这些威胁，或早或晚、或大或小，都会转化为对人们现实经济生活的威胁。 

要加强计算机信息系统的安全防范，就要研究上述威胁，查摆影响系统安全的因素。这些因素有哪些呢? 

一是计算机信息系统软硬件的内在缺陷。这些缺陷不仅直接造成系统停摆，还会为一些人为的恶意攻击提供机会。最典型的例子就是微软的操作系统。相当比例的恶意攻击就是利用微软的操作系统缺陷设计和展开的，一些病毒、木马也是盯住其破绽兴风作浪。由此造成的损失实难估量。应用软件的缺陷也可能造成计算机信息系统的故障，降低系统安全性能。 

二是恶意攻击。攻击的种类有多种，有的是对硬件设施的干扰或破坏，有的是对数据的攻击，有的是对应用的攻击。前者，有可能导致计算机信息系统的硬件一过性或永久性故障或损坏。对数据的攻击可破坏数据的有效性和完整性，也可能导致敏感数据的泄漏、滥用。对应用的攻击会导致系统运行效率的下降，严重者会会导致应用异常甚至中断。 

三是使用不当。如误操作，关键数据采集质量存在缺陷，系统管理员安全配置不当，用户安全意识不强，用户口令选择不慎甚至多个角色共用一个用户口令，等等。因为使用不当导致系统安全性能下降甚至系统异常、停车的事件也有报道。 

信息系统相对复杂的用户、对信息系统依存度较高的用户，与系统集成商签订系统服务外包合同，由其提供专业化的、一揽子安全护航服务，是个不错的策略。近年来，笔者所在行业，已经有越来越多的单位采用这一安全策略，既有效保障了系统安全，又节省了资金和人力资源投入，收效良好。 

四是自然灾害。对计算机信息系统安全构成严重威胁的灾害主要有雷电、鼠害、火灾、