使用防火墙,ids可以防御nimda,red code吗？

“Nimda”病毒的危险度为高度危险
http://www.cnmaya.com  09月20日 13:30   人民网





　　人民网北京9月20日讯　CA公司今天把Nimda蠕虫病毒(也被称为Win32/Nimda.A.Worm)列为高度危险的病毒。这种病毒与“红色代码”相似，它利用一系列的方法来传播并感染计算机系统，包括利用微软IIS(Internet Information Server)网络服务器软件中的漏洞，或通过电子邮件和公开的网络共享文件来感染计算机系统。这种蠕虫病毒能够使被感染的计算机系统后门大开，对远程接入不再设防，并覆写部分计算机文档。

　　根据CA eTrust全球防病毒研究员的分析，Nimda的传播方式是：首先搜索被感染计算机用户Outlook或Outlook Express中保存的电子邮件地址，然后通过一个自带的电子邮件引擎，把自己作为附件，以随机的邮件主题或无内容邮件的方式发送出去。名为README.EXE的附件会伪装成看上去没有任何危险的音频文件。

　　该病毒还会搜索容易被Unicode Web Traversal利用的Microsoft IIS服务器。一旦找到这种服务器，它就会自我复制并在机器中安装，然后开始修改以.HTM、.HTML、.ASP等为扩展名的网络内容文件。被修改的网页能够向访问被感染IIS服务器的用户发送一个该病毒的复制品。

　　Nimda还会搜索已公开的网络共享文件，这样就可以在远程计算机系统上进行自我复制和执行。

　　CA安全解决方案业务经理Ian Hameroff说：“我们看到，Nimda不仅有许多已知的病毒特征，而且还有许多新的我们从未见过的特征，它可以影响WEB服务器、商业和家庭计算机用户。根据Nimda的特征，它将是一种概念攻击，用来测试Internet的安全水平。用户要想避免将来遭受类似的攻击，必须随时注意去下载各种补丁程序，使用风险和政策评估解决方案，以及一个更强的、可防御攻击的互联网安全解决方案。”

　　CA公司的全球防病毒研究员将为其屡获奖项的防病毒解决方案――eTrust InoculateIT、eTurst Antivirus和eTrust EZ AntiVirus发布一个最新的病毒特征码。如需其他信息，请访问ca.com/virusinfo.

　　编辑：城市的足迹


[编辑 -  7/9/02 by  moqingsong]

网络安全软件与防毒软件将合二为一？
 
2001-12-04 14:39 小淘
 
 

 

　　最近几个月，欢乐时光、Sircam、红色代码、NIMDA等几场大规模病毒的连续爆发，均给计算机用户造成重大的损失。就连乌克兰总统库奇马管理局的机密文件也因Sircam病毒的入侵而被传发出去，于是乎，大量来自总统管理局的文件涌向外界的邮箱，包括一份库奇马总统将在本月底参加庆祝乌克兰独立10周年活动的日程时间表也赫然在列。


　　纵观这些具有强烈破坏力和感染力的新型病毒，它们的特点都是通过网络传播，其原理和木马殊途同归，开始走向病毒和网络攻击的结合体，它们都是蠕虫木马型病毒，特别是红色代码和NIMDA这两种病毒。一个是利用了微软IIS5.0的系统漏洞，使得红色代码在一夜之间感染了35万台机器。并且这些被感染的机器还可以被利用引发对特定服务器的DOS攻击，还可以使互联网上记录的重要信息，如信用卡资料，被暴露在危险之下；另一个是利用了微软的IE漏洞，这个漏洞可以使得某些特定编码的邮件会自动地不知不觉运行它的附件。

　　这些都表明，以后新型病毒都会采取这么几种方式：一、利用网络传播，大多都是通过感染机器的Outlook，给Outlook的地址簿的每一个邮件地址以MAPI函数发送，并且加以一些诱导性的内容，诱使接受者打开附件，甚至是不点击附件也可自行运行；二、利用系统漏洞传播，从而得以非常快速度的大规模传播；三、带有网络攻击性，比如窃取和暴露感染机器的文件及其他重要信息等；四、蠕虫木马结合，这是新型病毒为了以最快速度传播的必然选择，蠕虫木马型病毒可以达到既利用网络快速自我复制，还在传染的同时留下攻击后门。
既然新型病毒已经走向病毒和网络攻击的蠕虫结合体，那么魔高一尺，道高一丈，防病毒和防黑客软件是不是也将走向一体化？

　　偶然间，笔者发现合理运用一些防火墙软件，如天网防火墙，可以抵御红色代码、NIMDA的攻击，因为红色代码是采用发送数据包到攻击机器的80端口引发内存溢出的方式感染，防火墙软件刚好可以拦截这些数据包，这等于截断了红色代码的感染途径。

　　随后，瑞星在9月26日推出的《瑞星杀毒软件2002版》证实了笔者这一假想，该版本集成了个人防火墙、网页恶意代码攻击防范等网络安全功能，以后，瑞星还将捆绑木马克星、反黄等网络安全性质的功能。在前段时间上海创源公司隆重推出的安全之星XP，这也是一款集防病毒和防网络攻击为一体的防黑毒软件。天网营销人员也向笔者透露，天网商业版个人防火墙也将在适当的时候加入防病毒功能。

　　依据业界这些迹象，笔者可以断定，未来网络安全软件和防病毒软件必将走向二合一，这是一个不可避免的趋势，将来不会再有单纯的反病毒或者防黑客的公司，因为病毒和网络攻击已经二合一了。那么，这对于防病毒软件市场和个人网络安全市场会不会形成重新洗牌？

　　在过去，网络安全和防病毒软件厂商是老死不相往来，如果网络安全和防病毒软件开始二合一的话，无疑，它们就不得不开始搅和到一起竞争市场。防病毒软件厂商将进入到网络安全软件市场，网络安全软件厂商也将进入到防病毒软件市场。而事实上，目前在国内这些厂商中，都是鱼和熊掌，只兼一方，如国内著名的防病毒公司江民和瑞星在网络安全方面几乎无任何建树，同样国内的网络安全公司天网在防病毒方面也是毫无涉足。

网络安全软件与防毒软件将合二为一？
 
2001-12-04 14:39 小淘
 
 
　　在不得不进入一个自己完全不熟悉的领域，那么，它们会选择什么样的方式？

　　据笔者推断，将会有两种方式存在。一种是上海创源这种方式，完全自行开发防病毒软件，也开发防黑客软件，并把它们集中到一起。但很显然的是，让对网络安全并不是很在行的瑞星开发一个全新的防黑客软件，在性能上是肯定会差一些；另一种是强强组合，即防病毒软件厂商和防黑客软件厂商把彼此的产品集成到一起或者捆绑销售，如果这样的话，无疑会是一种双赢的合作选择，会给其它竞争对手造成相当大的压力。未来该领域的巨大变化，我们将拭目以待。（软件王）

mo兄：

    厉害，每天上网都搜贴子么？


嗬嗬！

前两天听的一个讲座，ids的，里面讲到的，顺便复习一下。

网络安全软件与防毒软件将合二为一？
 
2001-12-04 14:39 小淘
 
 
　　在不得不进入一个自己完全不熟悉的领域，那么，它们会选择什么样的方式？

　　据笔者推断，将会有两种方式存在。一种是上海创源这种方式，完全自行开发防病毒软件，也开发防黑客软件，并把它们集中到一起。但很显然的是，让对网络安全并不是很在行的瑞星开发一个全新的防黑客软件，在性能上是肯定会差一些；另一种是强强组合，即防病毒软件厂商和防黑客软件厂商把彼此的产品集成到一起或者捆绑销售，如果这样的话，无疑会是一种双赢的合作选择，会给其它竞争对手造成相当大的压力。未来该领域的巨大变化，我们将拭目以待。（软件王）
 

我个人认为这是不可能结合的。当然变成套件是有可能的，
但是无论如何我都不太愿意安装这样的套件。

我认为很难防，不知道讲座中他们怎么说得

不知胡大侠用过norton 2002没有（systemworks2002），我前些日子被求职信困扰，被迫装了一个。这玩艺好像就是每次我有mail来就起来看一遍。然后向我报告说里面有几个病毒。
不过这好像叫什么“在线查毒“。
当时还看到关于这种问题的ids对策，真的好复杂，还讲到snmp和追迹的方法，我是几乎晕了。关于nimda,red code 的原理不是太清楚。

red code利用缓冲区溢出原理

网络安全软件与防毒软件将合二为一？
 
2001-12-04 14:39 小淘
 
 另一种是强强组合，即防病毒软件厂商和防黑客软件厂商把彼此的产品集成到一起或者捆绑销售，如果这样的话，无疑会是一种双赢的合作选择，会给其它竞争对手造成相当大的压力。未来该领域的巨大变化，我们将拭目以待。（软件王）
 

我倒觉得是趋势，不是主流！

嗬嗬！

我认为很难防，不知道讲座中他们怎么说得

讲的东西实际上就是这贴里的东西，比之更复杂一点。
http://www.driverdevelop.com/forum/viewthread.php?tid=17268&PHPSESSID=559c4c51469d192edf74d2602c8b0990

http://www.driverdevelop.com/forum/viewthread.php?tid=17269&PHPSESSID=559c4c51469d192edf74d2602c8b0990

http://www.driverdevelop.com/forum/viewthread.php?tid=17273&PHPSESSID=559c4c51469d192edf74d2602c8b0990

就是用这些方法来监测 防护， nimda等是里面举的一个例子。我没真正搞懂。