深度威胁检测中常见的安全问题

十二届全国人大内务司法委员会委员郑功成说：“没有网络安全就没有国家安全。”在如今这个网络时代，网络安全的建设尤为重要，关系到个人、企业和国家的信息安全问题。比特豹为了响应国家号召，推出了网络安全检测服务，利用深度威胁发现设备为公检法司做深度的安全检测。在经过多次实践后，总结出以下几个常见安全问题及解决方案。

一、MS17-010漏洞

MS17-010漏洞正是2017年爆发的永恒之蓝漏洞，该漏洞影响范围广，基本覆盖windows所有版本的系统。勒索病毒通过445端口进行传播，攻击存在该漏洞的主机。被攻击主机如能连接互联网，则主机文件会被远程攻击者加密并勒索比特币；如果被攻击主机为内网设备，不连接互联网，也有可能经常出现蓝屏现象。

（MS17-010监测图）

（永恒之蓝病毒入侵）

防护措施：

1、利用系统防火墙阻止445端口连接；

2、安装Microsoft 发布的MS17-010漏洞补丁；

3、安装杀毒软件或更新杀毒软件病毒库进行杀毒防护。

二、MS08-067漏洞

MS08-067漏洞是服务器服务中一个秘密报告的漏洞，影响的系统包括Windows 2000/XP/Server 2003/Vista/Server 2008/7 Beta。如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。 在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码。另外此漏洞可能用于进行蠕虫攻击。

（MS08-067监测图）

防护措施：

1、安装Microsoft 发布的MS08-067漏洞补丁；

2、安装杀毒软件或更新杀毒软件病毒库查杀MS08-067漏洞病毒。

三、WORM_DOWNAD.AD蠕虫病毒

WORM_DOWNAD.AD蠕虫病毒主要是利用MS08-067漏洞传播和网络传播，它会使用暴力破解，当破解掉弱密码的设备后，该病毒会在这台机器上创建计划任务，同时会将自身拷贝至admin$System32目录。此外，它还会拷贝自身到所有可用的可移动磁盘和网络驱动器中，并且写入aoturun.inf以达到双击磁盘就自动运行病毒的目的。

（蠕虫病毒检测图）

防护措施：

1、安装MS08-067补丁；

2、管理员帐户采用复杂强密码；

3、更新杀毒软件病毒库并进行病毒查杀；

4、对于病毒日志中显示无法隔离、无法删除或者反复提示隔离成功的病毒文件请尝试使用闪电杀毒手做清除操作。

四、宏病毒

宏病毒是一种寄存在Office文档或模板的宏中的计算机病毒。如果打开感染宏病毒的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在 Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 宏病毒的特点是传播极快、制作变种方便、破坏性极大。常见的宏病毒有W97M_THUS.A、W97M_NSI.A等。

（宏病毒检测图）

防护措施：

1、杀毒软件更新至最新的病毒库并扫描计算机杀毒；

2、用正常的NORMAL.DOT文件替换被感染的模板文件。