資源描述:
《響應(yīng)nimda病毒蠕蟲病毒》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1��、響應(yīng)Nimda病毒蠕蟲病毒:應(yīng)對混合威脅的幾點建議內(nèi)附l混合威脅案例研究l對策實施踐及解決方案索引執(zhí)行概要3Nimda混合威脅的案例研究4交替的繁殖方式4需要綜合互補的對策5最佳做法5綜合互補的解決方案5SymantecNortonAntivirus——發(fā)現(xiàn)并去除威脅6SymantecEnterpriseFirewall/VelociRaptorFirewall——抵御Nimda掃描6SymantecEnterpriseSecurityManager(ESM)——確定修復(fù)級別6SymantecNetRecon——掃描網(wǎng)絡(luò)上的不當(dāng)操作7SymantecNetProwler——提供實時報警并識別
2�、受感染的系統(tǒng)7SymantecIntruderAlert——監(jiān)測未授權(quán)的操作及訪問7賽門鐵克安全響應(yīng)中心8結(jié)束語8執(zhí)行概要簡單的生活一去不返。在互聯(lián)網(wǎng)時代���,來自于工作和應(yīng)變的壓力與日俱增����?��;ヂ?lián)網(wǎng)的完善與進步的一個反面結(jié)果便是我們的對手可同樣享受到最新的技術(shù)和成果�。Nimda蠕蟲的出現(xiàn)是“一物降一物”說法過時的最新例證�����。本文的目的就是要以Nimda和紅色代碼蠕蟲作為這些新威脅的范例來研探究那些混合威脅的本質(zhì)���。這兩種蠕蟲都顯示了我們現(xiàn)在的對手正在運用新型的組合進攻手段威脅著IT基礎(chǔ)設(shè)施安全�����。這些混合威脅的出現(xiàn)也表明單純的單點解決方案已不足以讓他們屈服��。當(dāng)前���,對網(wǎng)絡(luò)所有部分進行保護并在網(wǎng)關(guān)��、服務(wù)器
3����、和客戶端級別進行及時的響應(yīng)十分必要����。在繼對威脅進行分析后�����,我們將闡明全面響應(yīng)這些威脅的必備的條件��,并展示在面對當(dāng)今和未來的威脅時�����,賽門鐵克是如何通過為客戶提供的一系列產(chǎn)品和附加的服務(wù)以保持獲得全球領(lǐng)先的互聯(lián)網(wǎng)安全廠商這一地位的。Nimda是一種蠕蟲���。它與其他互聯(lián)網(wǎng)蠕蟲的不同之處在于它無需人工的操作來進行傳播��,而是使用已知的軟件漏洞和多樣的感染體進行傳播����。蠕蟲繁殖的本質(zhì)和感染受害者的速度是其流行的一大特點�����。Nimda��,也叫W32.Nimda.A@mm���、W32/Nimda@mm�、PE_NIMDA.A����、I-Worm.Nimda、W32/Nimda-A���、和W32.Nimda.A��,發(fā)現(xiàn)于2001年9月
4�、18日。ComputerEconomics(Carlsbad,CA)估計Nimda在美國東部時間9月20日下午2:30至9月21日下午2:30之間的24小時內(nèi)感染超過了二2百千二2十百萬臺服務(wù)器和個人電腦����。該公司指出Nimda蠕蟲首次攻擊目標(biāo)的65%(143萬)是服務(wù)器,剩下的35%(77萬)是個人電腦�。ComputerEconomics估計由于停宕機及清除Nimda病毒所花的費用有5310萬美元(依據(jù)2001年9月19日數(shù)據(jù))。截止到2001年8月31日�����,ComputerEconomics計劃用于病毒和蠕蟲攻擊的費用為107億美元�。據(jù)統(tǒng)計,每年全球僅用于紅色代碼蠕蟲的費用就有26億美元�����。這
5���、筆費用包括清除受感染的超過1百萬臺服務(wù)器所需的11億美元,同時還要檢測超過8百萬臺其他的服務(wù)器����,檢測包括對這些適合服務(wù)的系統(tǒng)進行必要的安裝���、測試和認證。其余的15億美元分別用于系統(tǒng)用戶的消極影響�����、員工支持�、幫助桌面、以及其他的負責(zé)協(xié)助全球互聯(lián)網(wǎng)終端用戶����、IT人員和客戶的員工費用。這些重要的數(shù)據(jù)表明對于互聯(lián)網(wǎng)和互聯(lián)網(wǎng)技術(shù)的依賴性正在不斷增長�。它們說明了混合型威脅不斷增長以及消除這些威脅所需費用正逐步升高。Nimda和紅色代碼的威脅表現(xiàn)為混和威脅�����,他們在操作方法和效果上是多變的����。抵御混和威脅需要可提供多層防御和響回應(yīng)的全面安全解決方案,以便在遭到威脅時提前做出響回應(yīng)����。這種全面的解決方案包括確保在
6��、IT架構(gòu)內(nèi)所有級別——網(wǎng)關(guān)����、服務(wù)器����、和客戶端的安全能力,以及協(xié)助synergistically申請補充啟動安全功能的能力��。賽門鐵克提供處理這些威脅最全套的解決方案�����。用于病毒防護�����、風(fēng)險評估�、防火墻和入侵檢測系統(tǒng)的賽門鐵克安全產(chǎn)品或是管理安全服務(wù)地結(jié)合可對現(xiàn)今和將來的威脅提供最出色的進行防護。Nimda混合威脅的案例研究Nimda的制造者似乎借鑒了以前蠕蟲和病毒的特性���,以下便是例證:交替的繁殖方式Nimda有4種可交替的繁殖方式�。1.受Nimda感染的系統(tǒng)將對網(wǎng)絡(luò)進行掃描以查找未修復(fù)的微軟互聯(lián)網(wǎng)信息服務(wù)器(IIS)�����。然后試圖使用特殊的被稱為UnicodeWebTraversalexploit的探
7����、測器來實現(xiàn)對目標(biāo)服務(wù)器的控制。2.Nimda同時還可以通過郵件繁殖���。它可通過從所有MAPI附屬電子郵件程序的郵件箱內(nèi)截獲電子郵件地址進行繁殖��。它還可以從.htmland.htm文件中搜索出郵件地址�����。這樣地址的來源將不是來自于受感染的用戶��。這種蠕蟲使用自身的SMTP服務(wù)器發(fā)送郵件���。當(dāng)蠕蟲通過郵件到達時,蠕蟲便使用一種MIME探測器�����,可以僅通過讀取或預(yù)覽文件執(zhí)行病毒。3.用戶在訪問不安全的網(wǎng)絡(luò)服務(wù)器時將有可能下載
