550 likes | 674 Views
防毒系統教育研習. 研討大綱. Trend Micro 簡介 電腦病毒威脅來源分析 Office Scan 6.5 安裝使用詳述 病毒與中毒檔案處理 Q&A. 2004再度蟬連 InterBrand 品牌價值第一名 – 品牌價值308億,成長率18.3%. 2004十大台灣國際品牌. 趨勢科技 – 產品服務受全球肯定. International Recognition for Leadership, Product, and Service Excellence. Major Business Recognition
E N D
研討大綱 • Trend Micro 簡介 • 電腦病毒威脅來源分析 • Office Scan 6.5 安裝使用詳述 • 病毒與中毒檔案處理 • Q&A
2004再度蟬連 InterBrand品牌價值第一名 –品牌價值308億,成長率18.3%
趨勢科技 –產品服務受全球肯定 International Recognition for Leadership, Product, and Service Excellence Major Business Recognition • Accenture and Commonwealth Magazine • Asia Business Leader • Forbes • Frost and Sullivan • Interbrand • Porter Prize Major Industry Publication Recognition • CNET • CRN Magazine • Network Magazine • Network Computing Magazine • PC Magazine • PC World • VAR Business • SC Magazine
ICSA 2002年度病毒傳播趨勢報告 • ICSA介紹 • ICSA Lab, International Computer Security Association Lab國際電腦安全協會實驗室。 • 調查對象 • 北美300大企業與政府機關的資訊人員,企業網路環境需超過500台電腦及2個以上的區域網路 (LAN),至少有2個遠端連結點。
82% 病毒傳染媒介的改變
病毒發作巔峰每小時感染的電腦數目 病毒傳播越來越快
不斷增加的趨勢… 安全漏洞報告的數目 资料来源:NIPC 2001
日本 NTT DoCoMo iMode 手機案例 iMode使用者收到病毒寄發的惡作劇郵件,不知情而按下郵件裡面的超連結後,手機會自動撥號到110緊急報案電話
Palm_Vapor.A 特洛依木馬型病毒 會偽裝成Palm的附加程式(如右圖),一旦執行該程式,病毒會刪除遭感染的Palm上所有執行檔,包括病毒本身程式,僅有Palm基本應用程式仍被保留。 Palm 病毒 - Vapor
可攜式電腦設備須納入病毒保護範圍 • 未來的資訊威脅: • 多種類 • 多管道 Internet 駭客 病毒 病毒 防駭 寬頻 (Always on) 竊取個人密碼及資料、破壞資訊系統 病毒 Bluetooth IRDA HotSync 防毒 PDA
「破解版」軟體與駭客的關係 • 特洛伊程式的法律省思 2001/12Infopro.com • 刑事局日前宣布偵破一起由國人自行研發的特洛伊病毒程式,該程式一如特洛伊戰爭中的木馬,可以進入他人電腦中,盜取其電腦中所存的資料,傳送給木馬的主人。木馬主人可以利用取得的資料,在網路上以他人身份出現,從事網路行為。 • 該病毒程式為某國立大學學生所研發,燒錄在CD-R中持以販售。開發者除販售圖利外,該木馬並可隨時向開發者回報,以便監視購買者的行為。 • 在本案中,買到特洛伊程式的人在沾沾自喜的同時,卻不知道自己的木馬對自己並不忠誠。除了盜取他人電腦資料之外,也把自己的資料送給了病毒製造者。在犯罪結構中,犯罪本身也會隱藏自我毀滅的危機。這也是大部份的犯罪行為無法隱藏,犯罪行為人難以安享犯罪成果的主要原因。這個致命性的結構危機,由特洛伊程式的使用過程中,暴露無遺。
WORM_MSBLAST.D 疾風病毒 • WORM_MSBLAST 新變種 • 發佈時間:2003/08/18 • 18日就陸續對日本、新加坡與台灣等地均有災情陸續產出造成影響,並且已經造成某些伺服器停擺及企業Intranet網路擁塞無法使用。
OfficeScan 6.5 新增功能簡介 • 智慧型判讀網路異常攻擊 • 可判讀異常的大量網路連結,追查可能的病毒/攻擊來源 • 具備行為模式、啟發式的掃瞄技術,在網路上掃瞄異常的網路流量 • 藉由封包掃瞄技術,迅速發現病毒蹤跡 • DCS損害清除服務(Damage Cleanup Services) • 管理者可從遠端呼叫中毒電腦執行清除程式.無須到本機執行 • 清除程式可清除記憶體中正在執行的病毒,以及存在於作業系統登錄值(registry)中的病毒相關資訊 • 個人防火牆 – Personal Firewall • 入侵偵測功能 • 可偵測病毒攻擊來源 • 可阻絕來自遠端的惡意攻擊 • 支援CISCO NAC架構 • 支援掃描間諜程式(Spyware) 、廣告軟體、鍵盤側錄程式 • 可設定只掃瞄輸出,輸入,或是所有檔案 • 可限制用戶端無法修改防毒軟體相關的檔案以及系統登錄值
Server 系統需求(硬體) • 128MB 的可用記憶體。 • 300MHz Intel. Pentium. II 或同等級處理器。 • 300MB 的可用硬碟空間。 • 支援800x600 解析度的顯示器 • Windows. 2000 系列(SP2 或更新版本)、Windows NT 系列(至少安裝 • SP6a)、Windows XP.(安裝SP1 或更新版本)、或Windows Server 2003.。 • Microsoft Internet Explorer 5.5 或更新版本。
Server系統需求(軟體) • Microsoft Internet Information Server. (IIS)最低版本需求:Windows NT 4.0、Windows2000 ™ 5.0、Windows XP 5.1、Windows Server 2003 6.0。 • Apache Web Server 2.0 或更新版本(Windows 2000/XP[Service pack 1 or 或更新版本/Server 2003 only) • 如果是要在Windows NT Server 上安裝伺服器,您必須具有目標伺服器的「管理員」 • 或「網域管理員」權限伺服器上也必須安裝File and Printer Sharing for MicrosoftNetworks。
用戶端系統需求 • Windows 95/98/Me 用戶端的系統需求 • 133MHz Intel Pentium™或同等處理器 • Microsoft Windows 95/95OSR2/98/98SE/Me • 64MB 的記憶體 • 80MB 的可用磁碟空間 • 支援 640 x 480 解析度、256 色的顯示器 • Microsoft Internet Explorer 4.01 或更新版本 • Windows NT/2000 用戶端的系統需求 • 150MHz Intel Pentium 或同級處理器 • Microsoft Windows NT(Service Pack 6a)或 Windows 2000(Service Pack 2 或更新版本) • 64MB 的記憶體 • 80MB 的可用磁碟空間 • 支援 640 x 480 解析度、256 色或以上的顯示器 • Microsoft Internet Explorer 4.01 或更新版本 • Windows XP/Server 2003 用戶端的系統需求 • 300MHz Intel Pentium 或同級處理器 • Microsoft Windows XP Home 或 Professional Edition 或 Windows Server 2003 • 128MB 的記憶體 • 80MB 的可用磁碟空間 • 支援 800 x 600 解析度、256 色或以上的顯示器 • Microsoft Internet Explorer 6.0 或更新版本
安裝前需須取得的資訊 1.確定安裝平台 2.用戶端及伺服器是否已經安裝TCP/IP的通訊協定 3.是否具有本機管理員或網域管理員的權限 4.已經取得軟體啟用碼 5.確定是否有足夠的授權數量 6.確定可使用的Http Port Number
安裝用戶端的方式 • 運用下列工具都可安裝 OfficeScan 用戶端: • 內部網頁:只需要指示組織中的使用者移至內部網頁,並下載用戶端安裝檔案即可。 • Login Script Setup:在未受防護的電腦登入網路時,自動將 OfficeScan 用戶端安裝到這些電腦。 • Client Packager:透過電子郵件,將用戶端安裝或更新檔案部署到用戶端。此項在只具有低頻寬的遠端辦公室尤其有用。 • Windows 遠端安裝:從 Web 主控台將用戶端程式安裝到所有的 Windows NT/2000/XP/Server 2003 用戶端 • 從用戶端磁碟映像進行安裝:建立一個 OfficeScan 用戶端映像檔,並將之複製到網路上的其他電腦 • Microsoft System Management Server(SMS):使用 Microsoft System Management Server(SMS)來散佈用戶端程式,並提供安裝精靈讓用戶端進行安裝 • Vulnerability Scanner:運用 Trend Micro Vulnerability Scanner,在所有的 Windows NT/2000/XP(僅限 Professional Edition)/Server 2003 用戶端安裝用戶端程式
電腦病毒 • 電腦病毒(Virus) • 一個小程式,通常4K 到10K (1K = 1024 bytes) • 會將自己的程式依附在其它程式(寄主程式)上 • 透過寄主程式的執行,伺機將病毒程式傳出去 • 有特定潛伏期,於一定條件成立時,會進行破壞行動(如:CIH)
電腦蠕蟲 • 電腦蠕蟲(Worm) • 電腦蠕蟲也可說是電腦病毒的一種,與病毒不同的是,蠕蟲不會感染寄生在其他檔案。蠕蟲的主要特性是會自我複製並主動散播到網路系統上的其他電腦裡面。就像蟲一樣在網路系統裡面到處爬竄,所以稱為「蠕蟲」 ex:worm_KLEZ.A~G求職信病毒
特洛伊木馬 • 特洛伊木馬(Trojan Horse) • 特洛伊木馬(或簡稱 Trojan)是一種電腦程式,偽裝成某種有用的或有趣的程式,比如螢幕保護程式、算命程式、電腦遊戲等,但是實際上卻包藏禍心,暗地裡做壞事;它可以破壞資料、騙取使用者的密碼等等。在定義上,特洛伊木馬不會自我複製,也不會主動散播到別的電腦裡面 ex: "VBS_Kalamar”庫尼可娃病毒
現在流行什麼? 有點過份哦 !!
謠言/玩笑/惡作劇 • 謠言/玩笑/惡作劇(Hoax) • 網路上一直流傳著一些電子郵件,內容是告訴你『最近發現最新電腦病毒…如果你收到主旨為…的email,請立刻把它刪除,否則你的資料通通會被刪掉!…這個訊息已經由 IBM、Microsoft、CIA…確認…』並且鼓勵你再把這封警告訊息轉寄給你的親朋好友 • 事實上,這種訊息絕大多數都是所謂的「謠言耳語」,就像921之後,網路上充斥著各種謠言說何時又何時還會有更大的地震等等 ex: Joke_Ghost 貞子病毒
使用者必須解完遊戲後,才能繼續操作電腦,回到原來的作業使用者必須解完遊戲後,才能繼續操作電腦,回到原來的作業
貞子病毒 伴隨淒厲的尖叫聲,不定時出現一次,曾造成3名女大學生驚嚇過度,送醫急救
駭客工具 • 駭客工具(Hacker’s Tool) • 駭客用的工具程式,樣式繁多,最近熱門的有 TFN2K、Mstream等可供有心人利用作為 DDoS - 分散式阻斷服務攻擊 的工具程式。其他還有騙取使用者密碼,以便駭客用來假冒使用者身分入侵網路或讀取/篡改機密資料等 • 任何人都可以輕易在網路上獲得或買到這種程式
Key-logger 鍵盤側錄程式 • Key-logger程式可側錄所有自鍵盤輸入之字元,並將其存入一記錄檔(log file)之中 • 為持續記錄鍵盤輸入,key-logger程式相同於一般應用程式,須載入Windows registry,且須常駐於記憶體當中執行 • 駭客可藉由植入key-logger程式,側錄電腦使用者鍵入之網路帳號、金融密碼、甚至於個人機密文件;然後只須取得記錄檔(log file),即可竊取各種電子資料
按鍵竊聽器的運作方式 使用者在已經被植入竊聽木馬的PC上登入網路銀行 H123456789 ******** 帳號和密碼得手! H123456789 whatever 網路身分竊犯在另一部PC利用接收器竊聽的所有按鍵
單一電腦毀損 硬碟資料損壞 郵件伺服器灌爆 感染網頁伺服器 遠端遙控/駭客攻擊 整個網路停擺 以級數方式降低生產力 傳統病毒 新型態病毒 新舊型病毒的侵害力比較
新型病毒的行為趨勢 • 感染行為像病毒 • 常駐在電腦系统中,伺機感染宿主 • 感染方式越來越複雜,使偵測更加困難 • 攻擊行為像駭客 • 拒絕服務攻擊(Denial of Service) • 利用OS、IIS、IE等漏洞攻擊或控制電腦系統 • 透過電子郵件大量散播 • 造成的損害程度呈指數級迅速增加
至少將Internet Explorer的安全層級設定為 [中安全性] • 根據預設,Internet Explorer的安全層級設定為 [中安全性]。 然而,我們卻發現許多系統的安全層級被病毒、特洛伊木馬、或駭客變更成 [低安全性]。 • 基於這項考慮,我們鼓勵每一位使用者的安全層級設定至少是 [中安全性],如此可降低意外執行惡意檔案的風險。 • 在 [中安全性] 的安全層級,Internet Explorer會在執行內容可能不安全的檔案之前先提示使用者。 • Internet Explorer也會在執行任何ActiveX控制項之前先顯示警告訊息
不要隱藏已知檔案類型的副檔名 • 所有的Windows作業系統,根據預設在[檔案總管]中會將已知的副檔名隱藏起來。病毒撰寫者與駭客可以利用這項功能,將惡意的程式偽裝成像文字、影像或音效檔等其他檔案格式。 例如,一支名稱為 [readme.txt.exe]的惡意程式,在[檔案總管]中會顯示成[readme.txt] 。因而使用者常常上當,點按了這個「文字」檔,然後不慎執行了這個惡意的檔案。 • 為了避免這種困擾,建議您將 [檔案總管] 的設定變更為[不要隱藏已知檔案類型的副檔名]。 • 重要注意事項: 還有一些檔案 Windows作業系統總是會將之隱藏起來,例如副檔名為.shs的檔案。
資源分享的控管 • 在[Windows 檔案總管]或[我的電腦]中,按一下您想要分享的某個資料夾。 • 在[檔案功能表]按一下[內容]。 • 按一下[資源分享]索引標籤,再按一下[資源分享名稱]。 • 按一下您想要的[存取類型],必要時輸入一個密碼。 • 儘量避免不必要的網路資源分享,或將網路資源分享設定為「唯讀」。
如何知道誰正在與我的電腦連線中? • 若您發覺有不正常的網路連線現象,您可以於MS-DOS模式下,或Command Mode下鍵入netstat -n檢查您與遠端電腦建立的所有連線情形 • 您可以看到左邊是您所使用的通訊協定方式,第二欄為您與遠端主機建立連結所使用的IP位址及通訊埠,第三攔為遠端的IP位址及遠端主機所使用的通訊埠,第四欄為目前您與遠端主機建立網路連結的狀態。
如何知道我的電腦中執行了哪些程式? • 您可以利用工作管理員檢視目前正在執行中的程式名稱,是否有您未曾安裝的軟體或執行序,確保您的系統未遭後門程式侵擾。
微軟 Update Center : http://v4.windowsupdate.microsoft.com/zhtw/default.asp http://office.microsoft.com/taiwan/productupdates/ 在安裝完任何微軟之產品後必作相關修正檔更新