利用OfficeScan爆发阻止策略预防小浩病毒.doc

预防移动磁盘感染病毒 预防“小浩”病毒 广州理想资讯科技有限公司 RISUN INFORMATION SCIENCE AND TECHNOLOGY CO.,LTD. 广州市天河北路906号高科大厦A座2105-2107室 电话：86-2038259783 传真：86-20邮编：510630 WebSite： 目录 文档信息 3 适用读者 3 文档内容 3 版本记录 3 ? 问题背景 4 ? 解决方案原理 4 ? 解决方案部署方法 5 关于“小浩”病毒 6 预防策略 10 预防建议： 10 利用爆发阻止策略OPP预防“小浩”病毒 11 网 络 安 全 托 付 理 想 文档信息 文档编号：RISUN-0822-V100 文档密级：公开 文档版本：V3.0 文档日期：2008-8-22 适用读者 理想资讯公司行业授权最终用户； 理想资讯公司安全集成部相关项目组成员； 理想资讯公司授权的系统集成、软件开发、修改、维护人员。 文档内容 本文档旨在介绍当前最大爆发病毒“小浩”病毒，以及如何利用OfficeScan的爆发阻止策略预防“小浩”病毒。请用户务必重视此次病毒爆发，防范于未燃，以免造成不必要的损失。另外，由于病毒可能出现多种变种，请密切关注后续通告，我们会密切跟踪此次病毒爆发，力求减少病毒的影响力。 版本记录 时间 版本 说明 人员 2008-08-22 V3.01 汇总编制 徐国安 问题背景 近来通过移动磁盘（U盘、移动硬盘等）传播的病毒越来越多，在很多企业、公司的网络内已经成为病毒传播的最主要途径之一。 当病毒通过移动磁盘传播时，病毒会在移动磁盘的分区根目录下写入一个Autorun.inf文件和一个病毒文件。当用户双击移动磁盘分区盘符时，系统会识别Autorun.inf文件内容，根据Autorun.inf中所指向的病毒路径，查找并运行病毒程序。 为了更好的预防病毒通过移动设备传播，我们可以通过修改注册表某主键权限的方式，避免用户双击盘符时感染病毒。 解决方案原理 当用户双击分区盘符时，Windows系统是如何识别并调用Autorun.inf的？ 实际上，当系统识别出一个盘符时（即：一个移动设备接入系统时，系统识别该移动设备的盘符；或者当系统启动时，系统识别出硬盘分区的盘符），会查找该盘符的根目录下是否存在Autorun.inf文件。如果发现Autorun.inf文件，则会读取其中的信息，写入到以下注册表项中： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 （该注册表主键下，记录并管理了系统对所有“盘符”的双击操作和右键菜单内容。） 当用户双击了分区盘符时，系统会直接从以上注册表项中查找读取对应的信息，找到适合该分区盘符的操作。（经过分析测试，系统读取该注册表项使用的帐户是当前登陆用户的帐户） 因此，如果禁止当前登陆用户帐户对以上注册表项的写入权限，就可以避免Autorun.inf的信息写入到注册表；而如果禁止当前登陆用户帐户对以上注册表的读取权限，就可以使系统无法读取该注册表信息，避免执行Autorun.inf中指定的操作。这时，系统对该盘符的识别和操作，将会使用默认的操作，即“双击盘符=打开”，且点击右键也不会出现“自动运行”的选项。 我们可以在注册表中，对以上注册表项的权限进行修改，禁止当前用户帐户对该注册表项的所有访问权限。这样一来，当用户接入一个含有Autorun病毒的移动设备后，即使用户双击该移动设备的分区盘符，系统也不会执行Autorun.inf所指向的病毒程序，而是会打开该分区目录，这样就成功的避免了病毒感染系统。 经过测试，该方案可以有效的防止系统感染移动设备上附带的病毒。 解决方案部署方法 在一个网络中的计算机上部署以上修改注册表权限的解决方案，即可使这些计算机避免被移动设备上的病毒感染。在多台计算机上进行同时部署时，由于用户登陆帐户均不相同，我们需要将Everyone对该注册表项的访问权限全部设置为“禁止”。 通过微软技术支持的帮助，我们可以使用附件的工具subinacl.exe来实现对注册表某项权限的修改。该工具需要使用以下命令参数运行： subinacl /subkeyreg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /deny=everyone 我们可以通过AD域环境，或通过桌面管理系统，将该工具集成以上