响应Nimda毒蠕虫病毒.docVIP

响应Nimda病毒： 应对混合威胁的几点建议 内附 混合威胁案例研究 对策实施及解决方案  索引 执行概要 3 Nimda混合威胁的案例研究 4 交替的繁殖方式 4 需要综合互补的对策 5 最佳做法 5 综合互补的解决方案 5 Symantec Norton Antivirus——发现并去除威胁 6 Symantec Enterprise Firewall/VelociRaptorFirewall——抵御Nimda扫描 6 Symantec Enterprise Security Manager（ESM）——确定修复级别 6 SymantecNetRecon——扫描网络上的不当操作 7 SymantecNetProwler——提供实时报警并识别受感染的系统 7 SymantecIntruder Alert——监测未授权的操作及访问 7 赛门铁克安全响应中心 8 结束语 8  执行概要 简单的生活一去不返。在互联网时代，来自于工作和应变的压力与日俱增。互联网的完善与进步的一个反面结果便是我们的对手可同样享受到最新的技术和成果。Nimda蠕虫的出现是 “一物降一物”说法过时的最新例证。本文的目的就是要以Nimda和红色代码蠕虫作为这些新威胁的范例来研究那些混合威胁的本质。这两种蠕虫都显示了我们现在的对手正在运用新型的组合进攻手段威胁着IT基础设施安全。 这些混合威胁的出现也表明单纯的单点解决方案已不足以让他们屈服。当前，对网络所有部分进行保护并在网关、服务器和客户端级别进行及时的响应十分必要。在对威胁进行分析后，我们将阐明全面响应这些威胁的必备的条件，并展示在面对当今和未来的威胁时，赛门铁克是如何通过为客户提供的一系列产品和附加的服务以保持全球领先的互联网安全厂商这一地位的。 Nimda是一种蠕虫。它与其他互联网蠕虫的不同之处在于它无需人工的操作来进行传播，而是使用已知的软件漏洞和多样的感染体进行传播。蠕虫繁殖的本质和感染受害者的速度是其流行的一大特点。Nimda，也叫W32.Nimda.A@mm、W32/Nimda@mm、PE_NIMDA.A、I-Worm.Nimda、W32/Nimda-A、和W32.Nimda.A，发现于2001年9月18日。Computer Economics (Carlsbad, CA)估计Nimda在美国东部时间9月20日下午2：30至9月21日下午2：30之间的24小时内感染超过了二百二十万台服务器和个人电脑。该公司指出Nimda蠕虫首次攻击目标的65%（143万）是服务器，剩下的35％（77万）是个人电脑。Computer Economics估计由于停机及清除Nimda病毒所花的费用有531万美元（依据2001年9月19日数据）。 截止到2001年8月31日，Computer Economics计划用于病毒和蠕虫攻击的费用为107亿美元。 据统计，每年全球仅用于红色代码蠕虫的费用就有26亿美元。这笔费用包括清除受感染的超过1百万台服务器所需的11亿美元，同时还要检测超过8百万台其他的服务器，检测包括对这些适合服务的系统进行必要的安装、测试和认证。其余的15亿美元分别用于系统用户的消极影响、员工支持、帮助桌面、以及其他的负责协助全球互联网终端用户、IT人员和客户的员工费用。 这些重要的数据表明对于互联网和互联网技术的依赖性正在不断增长。它们说明了混合型威胁不断增长以及消除这些威胁所需费用正逐步升高。Nimda和红色代码的威胁表现为混和威胁，他们在操作方法和效果上是多变的。抵御混和威胁需要提供多层防御和响应的全面安全解决方案，以便在遭到威胁时提前做出响应。这种全面的解决方案包括确保在IT架构内所有级别——网关、服务器、和客户端的安全能力，以及协助申请补充安全功能的能力。赛门铁克提供处理这些威胁最全套的解决方案。用于病毒防护、风险评估、防火墙和入侵检测系统的赛门铁克安全产品或是管理安全服务地结合可对现今和将来的威胁提供最出色的防护。  Nimda混合威胁的案例研究 Nimda的制造者似乎借鉴了以前蠕虫和病毒的特性，以下便是例证： 交替的繁殖方式 Nimda有4种可交替的繁殖方式。 受Nimda感染的系统将对网络进行扫描以查找未修复的微软互联网信息服务器（IIS）。然后试图使用特殊的被称为Unicode Web Traversal exploit的探测器 来实现对目标服务器的控制。 Nimda同时还可以通过邮件繁殖。它可通过从所有MAPI附属电子邮件程序的邮件箱内截获电子邮件地址进行繁殖。它还可以从.html and .htm文件中搜索出邮件地址。这样地址的来源将不是来自于受感染的用户。这种蠕虫使用自身的SMTP服务器发送邮件。当蠕虫通过邮件到达时，蠕虫便使用一种MIME探测器，可以仅通过