歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

如何防止局域網病毒春風吹又生?

來源:轉載 作者:佚名 時間:2009-08-14 TAG: 我要投稿
野火燒不盡,春風吹又生。其實,不僅野草是如此,企業內部網絡中的病毒也是如此。不少網絡安全管理人員都有類似的煩惱。各個客戶端與服務器已經部署了殺毒軟件而且已經升級到最新的版本,為什么局域網內部還是會不斷出現殺不盡的病毒呢?

  其實,這是因為現在的病毒越來越會捉迷藏。他會通過各種各樣的形式來隱藏自己,不被殺毒軟件發現。如有些病毒經常采用反客為主的方式,來躲避殺毒軟件的查殺。如現在在系統的任務管理器中有一個svchost.exe的進程。這個進程名字和操作系統名稱一模一樣,大小寫也相同。那是否說明這個進程就是安全了的呢?其實不然。現在有些病毒利用了任務管理器無法查看進程對應的可執行文件這一缺陷,來隱藏自己。通常情況下,系統的svchost.exe進程對應的可執行文件存儲系統操作系統的系統目錄根目錄下面的一個文件夾中。而病毒就可以把自身的病毒文件復制到系統目錄根目錄中,并改名為svchost.exe。病毒運行后,我們在任務管理起重看到的也是svchost.exe這個進程。看起來和系統的正常進程無異,其實,此時病毒已經反客為主,以操作系統合法主人的身份光明正大的出現在我們面前。

  所以,現在病毒軟件隱蔽性越來越好。真正具有危害性的病毒,不會像熊貓病毒那樣,那人一看就知道你網絡中毒了。俗話說,會咬人的狗不叫。那些危害性大的病毒,只會躲在幕后,監視著你。在必要的時候,如得到他們所需要的信息之后,就悄然隱退。這種病毒才是我們安全管理人員中的心頭大患。

  那么該如何才能夠把病毒暴露在陽光之下,如何才能夠不讓病毒春風吹又生呢?為此筆者有如下建議。

  一、文件服務器斷開網絡后定時查殺。

  說句實話,文件服務器確實給企業的信息化辦公與資源共享帶來了很大的便利。但是,其也往往是病毒的最大傳染源。一方面企業網絡管理員在文件服務器上權限設置不當,很多共享文件夾為了工作方便,用戶在訪問時不需要經過身份認證。或者在操作系統啟動時會自動利用用戶名與密碼登陸文件服務起。這些措施,確實可以讓服務器身份驗證對用戶透明,節省了用戶驗證的程序開銷。但是,無疑也給了病毒可乘之機。若用戶所在的操作系統有病毒的話,則其就可以輕易感染文件服務器上其具有寫操作權限的文件與文件夾。而其他員工出于一種信任,在訪問文件服務器上的文件也會特別注意。如對于一些記事本或者DOC文件直接在文件服務起上打開。為此,用戶就在無形之中充當了幫兇,在企業內部傳染病毒。

  另外,文件服務器上的病毒由于環境復雜,往往很難查殺。因為即時殺毒軟件查到某個文件有病毒,但是其顯示的是無法直接刪除病毒,除非連文件帶病毒一起刪除。但是,我們安全管理人員往往不能夠輕易下這個決定。因為這個文件可能是員工的重要文件。往往很多種情況都會導致病毒無法被查殺。如有可能病毒一直在對病毒文件進行寫操作,有時也可能是因為有員工在訪問這個帶病毒的文件。無論是出于什么情況,我們安全管理人員都不能夠冒這么大的風險把病毒帶其感染的文件一起刪除。

  為此,筆者建議,在對文件服務器進行病毒查殺的時候,最好能夠中斷文件服務器跟企業網絡的連接。或者說,把文件服務器上的共享文件都取消掉。然后在針對文件服務器的所有硬盤、內存進行查殺。筆者在日常工作中,往往是一個月一次。公司實行的是雙休日,所以筆者每個月都要加一天班。先把文件服務器跟網絡斷掉,重新啟動后再查殺病毒。如此的話,就可以在最大程度上把一些隱藏的比較好的病毒殺死。此時,若發現無法刪除病毒時,也可以放心大膽的先把病毒文件隔離開來,然后再進行一一排查。因為此時沒有員工連接到文件服務器上,所以,就不會對員工造成不必要的損失。
【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视