8、信息系统恶意代码防范管理_管理流程制度

附录7

信息系统恶意代码防范管理

信息系统病毒防范管理

目 录

1、恶意代码风险 ............................................................................................................... 3 2、恶意代码的特征 ........................................................................................................... 3 3、非滤过性病毒 ............................................................................................................... 3

（1）谍件 ....................................................................................................................................... 4 （2）远程访问特洛伊 ................................................................................................................... 4 （3）Zombies ................................................................................................................................. 4 （4）破解和嗅探程序和网络漏洞扫描 ....................................................................................... 4 （5）键盘记录程序 ....................................................................................................................... 4 （6）P2P 系统. ............................................................................................................................. 5 （7）逻辑炸弹和时间炸弹 ........................................................................................................... 5

4、恶意代码的传播手法 ................................................................................................... 5 5、恶意代码传播的趋势 ................................................................................................... 6

（1）种类更模糊 ........................................................................................................................... 6 （2）混合传播模式 ....................................................................................................................... 6 （3）多平台 ................................................................................................................................... 6 （4） 使用销售技术 ..................................................................................................................... 7 （5）服务器和客户机同样遭受攻击 ........................................................................................... 7 （6）Windows操作系统遭受的攻击最多 ................................................................................... 7 （7）恶意代码类型变化 ............................................................................................................... 7

6、恶意代码防范方法 ....................................................................................................... 8

(1) 启动防火墙 .............................................................................................................................. 8 (2) 使用防毒软件 .......................................................................................................................... 9 (3) 定期为作业系统和防毒软件进行软件检查及更新 ............................................................ 10 (4）要避免被网页恶意代码感染 ............................................................................................... 10

第2页 共11页

信息系统病毒防范管理

信息系统恶意代码防范管理

1、恶意代码风险

随着计算机及计算机网络的发展，伴随而来的计算机恶意代码传播问题越来越引起人们的关注。随因特网的流行，有些计算机恶意代码有可能对公司的信息系统带来了极大的风险和损失。

2、恶意代码的特征

恶意代码（Malicious code）或者叫恶意软件Malware（Malicious Software）具有如下共同特征：

（1） 恶意的目的 （2） 本身是程序 （3） 通过执行发生作用

有些恶作剧程序或者游戏程序不能看作是恶意代码。对滤过性病毒的特征进行讨论的文献很多，尽管它们数量很多，但是机理比较近似，在防病毒程序的防护范围之内，更值得注意的是非滤过性病毒。

3、非滤过性病毒

非过滤性病毒包括口令破解软件、嗅探器软件、键盘输入记录软件，远程特洛伊和谍件等等，组织内部或者外部的攻击者使用这些软件来获取口令、侦察网络通信、记录私人通信，暗地接收和传递远程主机的非授权命令，而有些私自安装的P2P软件实际上等于在企业的防火墙上开了一个口子。

非滤过性病毒有增长的趋势，对它的防御不是一个简单的任务。与非过滤性病毒病毒有关的概念包括：

第2页 共11页

信息系统病毒防范管理

（1）谍件

谍件（Spyware）与商业产品软件有关，有些商业软件产品在安装到用户机器上的时候，未经用户授权就通过Internet连接，让用户方软件与开发商软件进行通信，这部分通信软件就叫做谍件。用户只有安装了基于主机的防火墙，通过记录网络活动，才可能发现软件产品与其开发商在进行定期通讯。谍件作为商用软件包的一部分，多数是无害的，其目的多在于扫描系统，取得用户的私有数据。

（2）远程访问特洛伊

远程访问特洛伊RAT 是安装在受害者机器上，实现非授权的网络访问的程序，比如NetBus 和SubSeven 可以伪装成其他程序，迷惑用户安装，比如伪装成可以执行的电子邮件，或者Web下载文件，或者游戏和贺卡等，也可以通过物理接近的方式直接安装。

（3）Zombies

恶意代码不都是从内部进行控制的，在分布式拒绝服务攻击中，Internet的不少 站点受到其他主机上 zombies程序的攻击。zombies程序可以利用网络上计算机系统的安全漏洞将自动攻击脚本安装到多台

主机上，这些主机成为受害者而听从攻击者指挥，在某个时刻，汇集到一起去再去攻击其他的受害者。

（4）破解和嗅探程序和网络漏洞扫描

口令破解、网络嗅探和网络漏洞扫描是公司内部人员侦察同事，取得非法的资源访问权限的主要手段，这些攻击工具不是自动执行， 而是被隐蔽地操纵。

（5）键盘记录程序

某些用户组织使用PC活动监视软件监视使用者的操作情况，通过键盘记录，防止雇员不适当的使用

第2页 共11页

信息系统病毒防范管理

资源，或者收集罪犯的证据。这种软件也可以被攻击者用来进行信息刺探和网络攻击。

（6）P2P 系统.

基于Internet的点到点 （peer-to-peer）的应用程序比如 Napster、Gotomypc、AIM 和 Groove，以及远程访问工具通道像Gotomypc，这些程序都可以通过HTTP或者其他公共端口穿透防火墙，从而让雇员建立起自己的VPN，这种方式对于组织或者公司有时候是十分危险的。因为这些程序首先要从内部的PC 远程连接到外边的Gotomypc 主机，然后用户通过这个连接就可以访问办公室的PC。这种连接如果被利用，就会给组织或者企业带来很大的危害。

（7）逻辑炸弹和时间炸弹

逻辑炸弹和时间炸弹是以破坏数据和应用程序为目的的程序。一般是由组织内部有不满情绪的雇员植入， 逻辑炸弹和时间炸弹对于网络和系统有很大程度的破坏，Omega 工程公司的一个前网络管理员Timothy Lloyd，1996年引发了一个埋藏在原雇主计算机系统中的软件逻辑炸弹,导致了1千万美元的损失，而他本人最近也被判处41个月的监禁。

4、恶意代码的传播手法

恶意代码编写者一般利用三类手段来传播恶意代码：软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本，本身就是软件，这类恶意代码对人的活动没有要求。一些像特洛伊木马、电子邮件蠕虫等恶意代码，利用受害者的心理操纵他们执行不安全的代码；还有一些是哄骗用户关闭保护措施来安装恶意代码。 利用商品软件缺陷的恶意代码有Code Red 、KaK 和BubbleBoy。它们完全依赖商业软件产品的缺陷和弱点，比如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。利用Web 服务缺陷的攻击代码有Code Red、Nimda，Linux 和Solaris上的蠕虫也利用了远程计算机的缺陷。

恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件，恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户，这样做可以最大可能的吸引受害者的注意力。一些恶意代码的作者还表现了高度的心理操纵能力，

第2页 共11页

信息系统病毒防范管理

LoveLetter 就是一个突出的例子。

一般用户对来自陌生人的邮件附件越来越警惕，而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断，恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型，将公共的执行文件类型压缩成zip文件等等。

对聊天室IRC（Internet Relay Chat）和即时消息IM(instant messaging)系统的攻击案例不断增加，其手法多为欺骗用户下载和执行自动的Agent软件，让远程系统用作分布式拒绝服务(DDoS)的攻击平台

，或者使用后门程序和特洛伊木马程序控制之。

5、恶意代码传播的趋势

恶意代码的传播具有下面的趋势：

（1）种类更模糊

恶意代码的传播不单纯依赖软件漏洞或者社会工程中的某一种，而可能是它们的混合。比如蠕虫产生寄生的文件病毒，特洛伊程序，口令窃取程序，后门程序，进一步模糊了蠕虫、病毒和特洛伊的区别。

（2）混合传播模式

“混合病毒威胁”和“收敛（convergent）威胁”的成为新的病毒术语，“红色代码”利用的是IIS的漏洞，Nimda实际上是1988年出现的Morris 蠕虫的派生品种，它们的特点都是利用漏洞，病毒的模式从引导区方式发展为多种类病毒蠕虫方式，所需要的时间并不是很长。

（3）多平台

多平台攻击开始出现，有些恶意代码对不兼容的平台都能够有作用。来自Windows的蠕虫可以利用Apache的漏洞，而Linux蠕虫会派生exe格式的特洛伊。

第2页 共11页

信息系统病毒防范管理

（4） 使用销售技术

另外一个趋势是更多的恶意代码使用销售技术，其目的不仅在于利用受害者的邮箱实现最大数量的转发，更重要的是引起受害者的兴趣，让受害者进一步对恶意文件进行操作，并且使用网络探测、电子邮件脚本嵌入和其它不使用附件的技术来达到自己的目的。

恶意软件（malware）的制造者可能会将一些有名的攻击方法与新的漏洞结合起来，制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。对于防病毒软件的制造者，改变自己的方法去对付新的威胁则需要不少的时间。

（5）服务器和客户机同样遭受攻击

对于恶意代码来说服务器和客户机的区别越来越模糊，客户计算机和服务器如果运行同样的应用程序，也将会同样受到恶意代码的攻击。象IIS服务是一个操作系统缺省的服务，因此它的服务程序的缺陷

是各个机器都共有的，Code Red的影响也就不限于服务器，还会影响到众多的个人计算机。

（6）Windows操作系统遭受的攻击最多

Windows操作系统更容易遭受恶意代码的攻击，它也是病毒攻击最集中的平台，病毒总是选择配置不好的网络共享和服务作为进入点。其它溢出问题，包括字符串格式和堆溢出，仍然是滤过性病毒入侵的基础。病毒和蠕虫的攻击点和附带功能都是由作者来选择的。另外一类缺陷是允许任意或者不适当的执行代码， 随着scriptlet.typelib 和Eyedog漏洞在聊天室的传播，JS/Kak利用IE/Outlook的漏洞，导致两个ActiveX控件在信任级别执行，但是它们仍然在用户不知道的情况下，执行非法代码。最近的一些漏洞帖子报告说Windows Media Player可以用来旁路Outlook 2002的安全设置，执行嵌入在HTML 邮件中的JavaScript 和 ActiveX代码。这种消息肯定会引发黑客的攻击热情。利用漏洞旁路一般的过滤方法是恶意代码采用的典型手法之一。

（7）恶意代码类型变化

此外，另外一类恶意代码是利用MIME边界和uuencode头的处理薄弱的缺陷，将恶意

第2页 共11页

信息系统病毒防范管理

代码化装成安全数据类型，欺骗客户软件执行不适当的代码

6、恶意代码防范方法

恶意代码接连出现，用户稍一不慎，电脑就可能会感染到恶意代码。由于恶意代码的种类甚多，而且它们往往透过狙击软件的安全漏洞及网页浏览来传播，用户必须提高对恶意代码的警觉性，增加对恶意代码的认识，并配以适合的电脑软件工具，方可增强个人电脑对恶意代码的抗御性。以下将简单介绍对付恶意代码的三大防卫术：

(1) 启动防火墙

防火墙是个人电脑跟外联网络（如互联网）连接的第一道防线，所以互联网用户更应将其多加利用，藉以保障个人电脑的安全。其实，现时设定防火墙的工作并不复杂，因为微软的视窗作业系统自 Windows XP 开始，已经内建了一个具备了基本功能的网际网路防火墙，用户可以参考以下微软网站网址来设定及使用该内建防火墙：

Microsoft Windows XP中文版本:

http://www.microsoft.com/taiwan/security/protect/windowsxp/firewall.asp

Microsoft Windows XP 英文版本:

http://www.microsoft.com/security/protect/windowsxp/firewall.asp

但如果你现时使用的并非视窗作业系统，又或者该视窗作业系统是Windows XP 以前的版本如Windows NT/2000 或 Windows 95/98/Me，则须另行安装软体或硬体防火墙。著名厂家如赛门铁克 （Symantec）、McAfee及 趋势科技 （Trend Micro） 都有为个人及企业提供一些更完善的防火墙方案。

第2页 共11页

信息系统病毒防范管理

(2) 使用防毒软件

安装了防火墙的个人电脑并不等于对恶意代码打了免疫针。假如你仍旧对一些可疑邮件掉以轻心，任意开启一些附著恶意代码的电邮附件，又或者在浏览网页时不小心地授权执行了一些恶意的程式码，都会令你的个人电脑感染恶意代码。所以，即使设置了防火墙，仍然是有安装防毒软件的必要。

著名的防毒软体计有由赛门铁克（Symantec） 公司的诺顿系列（Norton Series） 、McAfee 公司的 VirusScan及趋势科技（Trend Micro） 的 PC-Cillin等等 … 当中有些防毒软件更已经包括了防火墙功能，并不需要另行购置。在取得防毒软体后，用户就应该立即利用它来执行以下的防毒工作：

即时扫描 （Real-time scanning）：指电脑会在读取和写入文件的同时，进行病毒扫描，即时防止电脑档案受到病毒感染。此外，该功能也有助于发现一些类似病毒入侵的操作，比方来说，透过侦测对系统启动区的异常写入，可以提前发现潜伏于电脑记忆体的病毒。

电邮扫描 （E-mail scanning）：由于部分互联网供应商并没有为客户的电子邮箱提供电邮扫描及清理病毒电邮的服务，所以病毒于互联网上可轻易随电邮进入用户电脑，再从公司内部网络散播。用户可藉启动此功能来堵截大部分附带于电子邮件的恶意代码，另一方面，用户亦应当选用备有电邮扫描功能的电子邮箱（如雅虎及Hotmail）等来收发电子邮件。

硬碟排程扫描 （Scheduled hard disk scanning）：是指针对硬碟而进行的定期病毒扫描。

浮动视窗管理（Popup windows management）： 相信不少互联网用户在浏览一些提供非法软件或非法音乐下载的网站时，都会遇到浮动视窗不停跳出的情况，这些浮动视窗除了令人感到烦扰外，用户一不小心点击了这些浮动视窗后，就往往等同授权执行一些程式，带来不同程度的影响，小的如更改用户浏览器的首页设定，大的则可严重至植入恶意的木马程式以盗取个人资讯，都会危你的电脑及对个人的资讯安全造成不容忽视威胁。

第2页 共11页

信息系统病毒防范管理

(3) 定期为作业系统和防毒软件进行软件检查及更新

由于作业系统和防毒软件都有可能出现安全漏洞，所以要定期进行线上更新，或将防毒软件自动更新的功能启动。

由于大部分的恶意代码都是针对视窗平台（Windows Platform）而设计的，所以采用视窗系列的用户就应格外留意更新通知，并从速安装。

此外，为了保持一个防止病毒软件的效能，用户亦必须经常更新防毒软件的病毒定义，以确保防毒软件能够准确地侦测到最新型的恶意代码而作出防治。当然，我们亦强烈建议用户使用正版软件，除了出于对知识产权的尊重外，正版软件也为用户提供了更完善的售后服务如线上更新及技术支援等，使用户的利益得到更多及更好的保障。

(4）要避免被网页恶意代码感染

1、首先关键是不要轻易去一些并不信任的站点，尤其是一些带有美女图片等的网址。但是这个并不能真正防止网页恶意代码的攻击，因为这些恶意代码有可能在任何地方出现。所以也可以参考进行以下步骤的设置。

2、运行IE时，点击“工具→Internet选项→安全→ Internet区域的安全级别”，把安全级别由“中”改为“高”。网页恶意代码主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具”→“Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是，这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。而对于使用Windows98的计算机用户，请打开 C:\\WINDOWS\\JAVA\\Packages\\CVLV1NBB.ZIP，把其中的

“ActiveXComponent.class”删掉；对于使用Windows Me的计算机用户，请打开C:\\WINDOWS\\JAVA\\Packages\\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”

第2页 共11页

信息系统病毒防范管理

删掉。这个也只是一种折中的方案，我们可以有其它方法(如下)来保证IE的安全。 3、设置注册表编辑器中的相关项值：

1）运行打开注册表编辑器命令regedit.exe进入注册表； 2）在

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System下，增加名为DisableRegistryTools的DWORD值项，将其值改为“1”，即可禁止使用注册表编辑器命令regedit.exe。

因为特殊原因需要修改注册表，可应用如下解锁方法：

用记事本编辑一个任意名的.reg文件，其中的内容如下： REGEDIT4

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

\"DisableRegistryTools\"=dword:00000000 双击运行recover.reg即可。

4、随时升级IE浏览器的补丁。

第2页 共11页