2007 技術通報 - 如何啟用OPP防護病毒攻擊

自去年下半年開始,PE_LOOKED等系列病毒在台灣造成很嚴重的攻擊事件。 而這一波新型態的病毒攻擊,以透過網頁瀏覽的方式達到植入病毒的目的。主要入侵方式如下:

  • 入侵一般網站的首頁,當使用者瀏覽這個網頁時,會自動連線到另一個URL或是IP下載並執行病毒檔案,使用者不會有感覺瀏覽器已經自動下載病毒檔案並執行。
  • 結合釣魚網站,搜尋廣告以及病毒下載進行混合式攻擊。
  • 結合網站入侵,零時差攻擊以及病毒下載進行混合式攻擊。
  • 張貼文章在各個論壇,討論區,家族或是社群,並會附上URL連結,利用社交工程的手法吸引使用者點選這個連結,病毒程式就會在background植入電腦中。

這類新型態的病毒攻擊,會透過網頁瀏覽的方式植入病毒程式,因此使用HTTP閘道防毒(例如IWSS/IWSA/IGSA等)就可以有效攔截病毒檔案及相關變種病毒

若您目前尚未建置HTTP 閘道端的防護機制,啟用OfficeScan內的 OPP功能也可以有效攔截PE_LOOKED及其變種病毒。提醒您!為得到最佳防護效果,啟用OPP需要搭配相關的修正檔,修正檔資訊請參考下文中附錄。

另外啟用DCE 5.0也可以增加解毒的功能。 您可以下載啟用OPP的作業步驟說明 ( SOP文件) ,可以協助您一步一步完成設定, 提高防毒軟體的效能。文件中也說明軟體使用版本及需搭配的修正程式。 下載啟用OPP的相關SOP文件

您下載Document_for_OPP_Setting.zip之後,並解壓縮,就會看到啟用OPP的相關文件,各文件說明如下:

  1. 使用OSCE來防範常見病毒檔案v1.02.pdf
    介紹OPP啟用方式,以及建議作防寫的檔名清單,更新相關修正檔之後,可以將OPP啟用時間延長。
    注意 :
    1. 由於文件為PDF格式,因此在在拷貝防寫檔名,會出現斷行,因此您可以直接將"OPP防寫檔名.txt"中的檔名拷貝到OPP防寫檔名的欄位中
    2. 若您的OfficeScan server上已經更新8.321或是掃描引擎,則需要做一些細項設定以順利啟用OPP,建議您利用技術支援專線和我們連絡,我們會協助您啟用OPP功能
  2. DCE5.0.pdf
    介紹DCE5.0啟用方式及所需要的相關修正檔
  3. OSCE7.3_TC_Deny_Write_IE_Temp.pdf
    介紹如何透過OPP針對IE的暫存目錄針對.exe的下載作防寫及所需要的相關修正檔。 當公司內部中毒情況非常嚴重時,可以考慮用這個方式做防護。目前此功能僅支援OfficeScan 7.3版。
    因為最近流行的病毒都會自動透過瀏覽器下載.exe的病毒檔案,因此可以透過OPP將IE暫存目錄針對.exe檔作防寫,可以有效預防新的變種病毒寫入。但是使用者要下載ㄧ般的執行檔.exe也會被限制。因此請詳閱文件內容的FAQ再決定是否執行針對.exe檔的防寫。

若針對文件內容有任何疑問,請撥我們企業授權用戶專線(02_2376-2323)

附錄: Hotfix & Patch下載位址

OfficeScan 7.3中文版

OfficeScan 7.0中文版

若您需要英文版修正程式, 麻煩您撥我們企業授權用戶專線取得相關資訊。