McAfee AVERT对尼姆达病毒的报告
　 2001-09-20 15:24:30

　　
　　McAfee AVERT宣布，该公司成功定义了新的高爆发率的蠕虫病毒——尼姆达（Nimda），McAfee ePO随后公布了为企业用户提供的防范该病毒破坏的5大措施。AVERT目前已经接到了来自财富500强中大多数公司发现尼姆达的病毒报告，所有报告都显示该病毒会大幅度增加80端口的流量，而80端口正是HTTP中应用最多的网络端口。

　　昨日出现于互联网上的尼姆达（W32/Nimda@MM），是一种破坏性极强的蠕虫病毒，发作时会按照被感染者的邮件地址簿发送自身拷贝。此外，尼姆达还会检测HTTP的80端口，包括那些尚未添加补丁的IIS服务器。由于具有类似“红色代码”的特点，尼姆达还存在引发DDoS的潜在威胁。

　　以下是来自McAfee AVERT对尼姆达病毒的报告：

　　症状——W32/Nimda@MM是一个因特网蠕虫病毒，能够通过电子邮件、共享软件以及HTTP端口80进行传播。该蠕虫自身是一个文件名可变的汇编执行文件。
　　主题：（一长串无序的字符）
　　e-mail正文：（HTML的页面，通过阅读软件看不见任何内容）
　　附件：（文件名可变，常见的是README.EXE文件）
　　预防措施——您可以在McAfee AVERT网站上获得有关该病毒的详细信息和预防措施，网址是： http://vil.nai.com/vil/virussummary.asp?virus_k=99209。McAfee建议您将产品配置为多层扫描来进行保护，并且包括电子邮件和因特网通讯。McAfee的产品用户可以在该页升级系统，并可以使用4.0.70或以后版本的扫描引擎来防止该病毒造成进一步的损害。

　　McAfee ePO提供的防范措施如下：

　　爆发响应——对于企业来说，一次最新病毒警报信号与救生员同等重要。只需要问一下财富1000强中我们ePO产品的使用者就可以知道，ePO服务器发出一个警报信号，公司就可以指示所有管理范围内的台式机/文件服务器/网关的扫描器，立即摧毁所有实时更新的已定义的病毒，以侦测和清除类似于尼姆达这样的新病毒。一旦在管理端进行了更新，管理员就可以立即强制命令这些设备执行全系统扫描。

　　强制爆发政策——正如我们所知，大多数公司都针对某一类可能感染的文件类型设置了台式机强制政策。当整个网络发现任何新的病毒爆发时，用户就会被建议修改他们的标准AV政策，最简单的就是扫描所有的的文件。ePO正是最易于使用的调整修改政策以实现及时响应的工具。

　　确保安全的高可见性——你确定你的公司正在使用的是最新的病毒防范系统吗？ePO的报告可以准确指出受感染的机器，并告诉IT管理员在最短时间内知道哪些机器尚未得到有效保护。


　　鉴别被感染机器的图形化报告——图形化报告能够深入对比网关、文件服务器或台式机的标准。图形报告可以协助追踪少数孤立的被感染的机器，或者判断整个办公室是否都已被病毒感染。通过这些信息，IT管理员可以尽快地按照业务优先权采取措施。

　　评估整个IT体系的病毒防御政策——AV管理员对整个IT体系的控制是相当有限的。多数情况下，AV管理员直接受制于任何一台台式机的防毒政策。同时，防火墙政策、网关政策等，均是静态的，也没有在最高级的病毒威胁中得到考虑。AV管理员可以使用ePO报告来增加对病毒状态的了解，并且放心地去改变原本无效的IT体系政策。