Nimda混合威胁的案例研究-Symantec.doc

响应Nimda病毒蠕虫病毒： 应对混合威胁的几点建议 内附 混合威胁案例研究 对策实施践及解决方案  索引  TOC \o 1-2 \h \z  HYPERLINK \l _Toc529443717 执行概要  PAGEREF _Toc529443717 \h 3  HYPERLINK \l _Toc529443718 Nimda混合威胁的案例研究  PAGEREF _Toc529443718 \h 4  HYPERLINK \l _Toc529443719 交替的繁殖方式  PAGEREF _Toc529443719 \h 4  HYPERLINK \l _Toc529443720 需要综合互补的对策  PAGEREF _Toc529443720 \h 5  HYPERLINK \l _Toc529443721 最佳做法  PAGEREF _Toc529443721 \h 5  HYPERLINK \l _Toc529443722 综合互补的解决方案  PAGEREF _Toc529443722 \h 5  HYPERLINK \l _Toc529443723 Symantec Norton Antivirus——发现并去除威胁  PAGEREF _Toc529443723 \h 6  HYPERLINK \l _Toc529443724 Symantec Enterprise Firewall/VelociRaptorFirewall——抵御Nimda扫描  PAGEREF _Toc529443724 \h 6  HYPERLINK \l _Toc529443725 Symantec Enterprise Security Manager（ESM）——确定修复级别  PAGEREF _Toc529443725 \h 6  HYPERLINK \l _Toc529443726 SymantecNetRecon——扫描网络上的不当操作  PAGEREF _Toc529443726 \h 7  HYPERLINK \l _Toc529443727 SymantecNetProwler——提供实时报警并识别受感染的系统  PAGEREF _Toc529443727 \h 7  HYPERLINK \l _Toc529443728 SymantecIntruder Alert——监测未授权的操作及访问  PAGEREF _Toc529443728 \h 7  HYPERLINK \l _Toc529443729 赛门铁克安全响应中心  PAGEREF _Toc529443729 \h 8  HYPERLINK \l _Toc529443730 结束语  PAGEREF _Toc529443730 \h 8   执行概要 简单的生活一去不返。在互联网时代，来自于工作和应变的压力与日俱增。互联网的完善与进步的一个反面结果便是我们的对手可同样享受到最新的技术和成果。Nimda蠕虫的出现是 “一物降一物”说法过时的最新例证。本文的目的就是要以Nimda和红色代码蠕虫作为这些新威???的范例来研探究那些混合威胁的本质。这两种蠕虫都显示了我们现在的对手正在运用新型的组合进攻手段威胁着IT基础设施安全。 这些混合威胁的出现也表明单纯的单点解决方案已不足以让他们屈服。当前，对网络所有部分进行保护并在网关、服务器和客户端级别进行及时的响应十分必要。在继对威胁进行分析后，我们将阐明全面响应这些威胁的必备的条件，并展示在面对当今和未来的威胁时，赛门铁克是如何通过为客户提供的一系列产品和附加的服务以保持获得全球领先的互联网安全厂商这一地位的。 Nimda是一种蠕虫。它与其他互联网蠕虫的不同之处在于它无需人工的操作来进行传播，而是使用已知的软件漏洞和多样的感染体进行传播。蠕虫繁殖的本质和感染受害者的速度是其流行的一大特点。Nimda，也叫W32.Nimda.A@mm、W32/Nimda@mm、PE_NIMDA.A、I-Worm.Nimda、W32/Nimda-A、和W32.Nimda.A，发现于2001年9月18日。Computer Economics (Carlsbad, CA)估计Nimda在美国东部时间9月20日下午2：30至9月21日下午2：30之间的24小时内感染超过了二2百千二2十百万台服务器和个人电脑。该公司指出Nimda蠕虫首次攻击目标的65%（143万）是服务器，剩下的35％（77万）是个人电脑。Computer Economics估计由于停宕机及清除Nimd