Trend Micro   -your Internet VirusWall
產品介紹 下載專區 技術支援 網路安全百科 熱門活動 關於趨勢



line
line
line
line
line
line
line

基本概念

專題報導

line
drip
drip space
防毒入門-專題報導

Melissa 病毒風暴,帶給企業的省思
網路防毒是數位神經系統的主幹

  1999年3月26日,Melissa 病毒導致全球大企業的 Email Server 公休一天
  僅在 Client 端防毒真的萬無一失?
  使用 Mail Server 防毒軟體,為什麼還需要 Desktop 清毒?
  Melissa 病毒事件帶來哪些省思
  Malissa 病毒常見問題集
  Melissa 病毒小檔案

3月26日晚間一隻名為 "W97M_ MELISSA" 的病毒,展開大規模的 "全球性感染",一夕之間迫使著名的大型企業強迫關閉他們的 EMAIL SERVER,紐約時報( NEW YORK TIMES)甚至以 "前所未有的 INTERNET 病毒風暴" 來形容,FBI也對各公民營企業發出呼籲,甚至發出通緝令將逮捕該名病毒作者。以網路安全為主要經營目標的領導品牌,也都承認這是前所未有的快速大型感染。這隻名為 "W97M_MELISSA" 的病毒,可以同時感染 Microsoft Word 97 及 Word 2000 的文件,並自動經由被感染者的 Microsoft Outlook(r) 的通訊錄發出50 封自動郵件,藉以連鎖性的大規模散佈,嚴重甚至會導致企業 Mail Server 當機。由於該病毒發病時間正逢假日,趨勢科技台灣區客服部星期一一大早即接收了來自各方要求協助的 E-mail 及諮詢電話,短短 3 天, Web site 出現比平常高出 6 倍的 Hit rate。當時各大企業亦針對 Melissa 病毒展開危機處理:

  • 位於西雅圖的Amazon.com嚴格的要求內部員工不得打開內含巨集的Word文件

  • GTE Internetworking 緊急的將防毒軟體放在該公司 Intranet homepage

  • 許多知名大企業並沒在情勢失控前,找到合宜的解決方案。甚至以關閉 Mail server 來對抗這隻史無前例擴散的病毒。以下這篇文章,讓我們來省思企業在這次病毒事件中,學到了哪些新的防毒觀念。

1999年3月26日,Melissa 病毒導致全球大企業的 Email Server公休一天

1999年 3月 27 日,服務於台北某家軟體公司資訊部的陳則明決定利用週末回大溪省親,難得通暢的高速公路讓他感到心情一陣舒暢。正當他享受公路兩旁飛逝而過的景觀時,手機卻鈴鈴作響,他語氣高昂的接通手機後,卻一臉黯然的在就近的交流道將車子掉頭駛回台北。「 Mail 不通,到底在搞什麼?」老闆從美國追蹤而來的緊急電話,把陳則明弄得一頭霧水,卻也不得不回公司,找出問題的癥結。在路途中,連配戴的呼叫器也每隔 3分鐘響一次,包含 CIO、部門助理和急著發 mail 的相關人員,他連回電話的時間都沒有,就直接奔回辦公室。空蕩蕩的辦公室,僅有陳則明一個人在 Server Room 裡,針對可能的癥結,一一檢查。登錄 Microsoft Exchange Server 時,他嘴裡還嘟嚷著唸著:「週五下班前,一切都正常,怎麼可能說不通就不通?」就在同時,眼前的這一幕卻讓他瞠目結舌---幾乎所有的信箱都塞滿了這樣標題的信件:「 Important message from < somebody>」(PS. Somebody 是寄件人的名字) ,信件內容為:「 Here is that document you asked for....don't show anyone else:-)」並有一個 Word 附件檔。更難以接受的是,這些寄件人幾乎都是公司內部的同事,或是熟識的朋友、甚至是客戶。他腦中閃過的念頭是:「誰在惡作劇?!」之前公司網路就曾經因為同事們大量 Forward 女明星寫真集掃瞄圖檔,而嚴重佔據伺服器空間,公司還因此明文規定,不得散佈與業務無關的 Email 連鎖信件。然而事實似乎與惡作劇無關,因為連發佈這項規定的大老闆,也是散發這封信件的主角之一。

僅在 Client 端防毒真的萬無一失?

「該不會是...病毒!」曾在 1996 年處理過台灣頭號大病毒- Taiwan No.1的陳則明,餘悸猶存地顫了一下。記得當時,文件巨集病毒像是一樁突然爆發的瘟疫似的藉著 Word 、Excel 廣為流行,更頭痛的是明明今天抓乾淨了,明天又從另一台電腦冒出來了,「簡直就是抓不勝抓的頭蝨。」為此公司還在每一台電腦安裝防毒軟體呢! 與文件巨集病毒有豐富作戰經驗的陳則明,非常瞭解文件巨集病毒的感染通則:使用者開啟中了文件巨集病毒的 Word檔案-->病毒感染 Word 範本文件 Normal.dot --> 下次開啟新的 word 文件都會因啟動Normal.dot而感染所有 Word 文件而再連鎖感染。可是這隻病毒似乎不像大多數的文件巨集病毒感染模式,僅限於用戶端感染,它的目標獵物更鎖定了 outlook ,而且它的傳播速度更讓他大開眼界。 當初公司決定採買防毒軟體之初,並沒有未雨綢繆的觀念,純粹是因為 Word 文件巨集病毒把資訊部同仁搞得焦頭爛額。礙於預算,並沒有考慮Server 端的防毒,當初堅持只採用用戶端防毒的理由是:「如果我把用戶端都守住了,何需在server 大費周章。」不可諱言的,這真的是許多資訊管理者的想法。事後在網路上找到免費解藥的陳則明苦笑地攤著手:「沒想到這隻病毒直接危害 exchange server ,它在瞬間灌爆了信箱,Server 活生生地掛掉了。」 僅在 Client 端防毒真的萬無一失?這是陳則明和許多資訊管理者因為這則 Melissa 病毒事件必須重新思考的問題。

使用 Mail Server 防毒軟體,為什麼還需要 Desktop 清毒?

陳則明最終還是暫時的解除了這次 Melissa 病毒的危機,但是服務於某家上市公司的管紹青則面臨了另一種情況。由於該公司每天必須藉著 Email 傳輸相關資料給客戶,為了公司信譽他們在 Mail Server 上安裝了防毒軟體,Client 端則完全沒有防護。管紹清的危機處理方式是:

  • 緊急的發佈病毒警訊給公司所有的員工,請他們不要開啟類似標題的信件並立刻把它們刪除。

  • 警戒期間暫時不要開啟內含巨集文件

  • 在防毒軟體廠商公佈最新病毒碼同時,全面掃瞄 Email server。

經過上述的步驟,病毒的災情總算控制住了,管紹清鬆了一口氣。當他以為這次的病毒風暴終於解除時,隔兩天卻有客戶抱怨,他們收到來自該公司的 Melissa 病毒,並且在該公司迅速地蔓延開來。最意外的損失是,他們公司因此掉了一筆原本要簽下的大案子。 業務部的責難當然不絕於耳,管紹清想起這幾年來為公司立下的汗馬功勞,就這樣毀於一旦,心裡著實沮喪極了。他打開 Email 的個人資料夾,把平時朋友寄給他的網路笑話或逗趣的小程式,一一地打開來排遣谷底的情緒。看著看著他忽然挺直了背脊,嘴角出現一抹枉然大悟的自信。原來他漏掉了「個人資料夾」,一旦用戶端把信件直接存放於「個人資料夾」,也就是說存放於個人的硬碟中,這麼一來適用於 Mail Server 的防毒軟體就不能發揮效果了。 管紹清採取的應變措施是,為免不經意的再度將病毒散播出去,只好親自出馬將公司現有的 150 台電腦一台一台的手動清除。 這裡出現另外一個值得探討的議題是,目前市面上絕大多數的防毒軟體,對於直接存檔歸類於「個人資料夾」的 Outlook file ( *.pst )並無法偵測,目前僅有趨勢科技已研發出解決方案。

Melissa 病毒事件帶來哪些省思

  • Internet 帶來商機,亦帶來無時差的瞬間危機

    • 1991年4月米開朗機羅靠磁片傳播,格式化硬碟的破壞力,導致人心惶惶。自台灣傳到美國約需 2 年。

    • 1999 年Melissa 藉著 Internet 展開全球性的肆虐,自美國傳到台灣僅需 2 分鐘。

  • Taiwan NO.1 頂多耗費用戶端系統資源,Melissa 證明文件巨集病毒有能力導致 Email Server 關閉 如同文件巨集病毒佔 10 大病毒排行榜榜首不墜之前,資訊管理人員對於病毒會感染 Word 文件檔,始終持著存疑的態度。現在他們卻得接受另一項事實:「傳送 Email 附件檔有其危險性!」儘管在 Taiwan NO.1 肆略全台之時,企業網管人員對這點已有共識,但對於 Melissa 文件巨集病毒會變本加厲地強迫 Email Server公休一天,這真是始料未及的。

  • 網路安全不再只是 MIS 的工作,網路防毒是數位神經系統的主幹 這是一個很好的機會教育,以往絕大部分的公司同事都認為電腦有狀況,只要找資訊管理人員就沒有問題了。但從這次的病毒事件,大家體會到了從 CEO 到 Clerk 都應該有防毒意識。 企業經營者必須思考關閉一天的 Email Server將流失多少商機?以往病毒事件我們僅評估人力維修的有形成本,但 Melissa 病毒傳至客戶公司,卻將同時引發無法彌補的商譽損失。 制訂合宜的企業防毒政策,讓整體花費成本 TCO (Total cost of owership)降到最低,是當務之急。 公司內部應該舉辦內部防毒教育,讓員工在平時養成正確的防毒觀念,以免成為散播病毒的中繼站。

  • 限制 Email 使用 ,關閉巨集只是緩兵之際 在這次事件中,許多企業採取強制的手法,要求使用者不可再利用 Email 傳送附件檔,甚至要求關閉巨集,來達到縮小疫情範圍的目的。(比如 Amazo.com即是採取這樣的措施)然而這樣的作法未免因噎廢食,畢竟不是長久之計。 5. 來路不明的 Email 最好不要開啟,但來自老闆或熟識者的 Email 就保證安全嗎? Melissa 顛覆了防毒工作者一直宣導的「不要開啟來路不明的 Email 附加檔」,因為「道高一尺,魔高一丈」的病毒作者,直接從 Mail List 裡挑出 50 位你熟悉的長官、好友,甚至你渴望他下單的客戶名單,再下個聳動的標題:「這是來自<董事長> 的重要訊息」(<>內的人名,可能關係著你的前途、友情和業績),Email 內容更是讓你迫不及待打開它:「這是上次你跟我要的文件,不要給別人看囉!:-) 」,於是一場連鎖感染的疫情便開始蔓延了。

  • MIS 休假,誰來當消防隊?防毒委外服務時代已經來臨 Melissa 趁著週末展開荼毒行動, 趁著 MIS 最鬆懈的時間,一舉攻城掠地。防毒軟體可以像保全公司一樣 24 小時隨時監控嗎?據悉,目前國內的防毒大廠趨勢科技,提出的 e-Doctor 防毒委外服務,獲得企業界非常正面的迴響。 企業內編制的MIS 不該只單單處理網路不通、電腦當機等瑣碎事物,他們將有更多的時間發揮實務專才運用在業務推廣層面的資料庫效能整合、架構網路系統等等。

Malissa 病毒常見問題集

  • 假如我沒使用 Outlook 收發信件,我會感染 MELISSA病毒嗎?
    不會。MELISSA 只會透過 Microsoft Outlook 為傳播的媒介。

  • 假如我使用 Outlook Express 收發信件 ,也會因為感染 MELISSA 而自動幫我散播 50 封帶毒信件嗎?
    不會。"Outlook" 和 "Outlook Express" 是不同的郵件程式。MELISSA 只會透過 Microsoft Outlook 為傳播的媒介。

  • MELISSA會破壞 HD 或作業系統嗎 ?
    不會。它最大的破壞力就是在最短時間內大量散播蔓延,導致企業網路頻寬資源消耗殆盡,跟許多打著"全球首隻病毒"旗號的病毒一樣。MELISSA 有著強烈的" 示範作用",雖然目前它並不會直接破壞檔案和系統 ,沒有防毒專家敢保證未來的變種病毒絕不會有這類的破壞力。

  • 假如我的 Outlook 在離線狀態,即使我感染了MELISSA 它也會自動散播病毒嗎?
    會。即使你在離線狀態,這些被荼「毒」的 Mail 還是保留在你的寄件匣裡。當你下次登入 mail server, 病毒會立即被自動寄發出去。

  • 假如我使用 Word97 或 Word 2000 時將巨集關閉,這病毒還會發病嗎?
    不會。一旦將巨集關閉,MELISSA將沒有辦法執行。

  • 目前全球 MELISSA的疫情如何?
    據報導微軟、 Intel 都遭受感染,病毒擴散後的一小時內,伺服器即超過 2萬封信件。其中美國微軟採用趨勢科技的 InterScan VirusWall 成功掃毒

  • MELISSA 病毒最大的影響為何?
    雖然這病毒沒有明顯的破壞力。但是它會從 Mail 名單群組裡自動的將病毒散播給 50 個人,當這 50 個人一旦感染病毒,又會再度的自動散播給 50 個人。因此企業內的 在極短的時間內就會迅速累積數以千計的 mail 流量,若無法立即制止,將造成 e-mail server " 灌暴" 而無法運作。 值得一提的是,如果你收到一封標題:「這是來自總裁的重要訊息」,關心前途的你敢不開 mail 嗎?MELISSA 即是利用人性弱點達到大量散播的目的。

  • 如何自我辨別中毒?
    電子郵件中的主旨欄,會出現「Important Message From <使用者名字>」,郵件內顯示「Here is that document you ask for...don't show anyone else ;-)」此一郵件並內附了一個含有病毒的文件,而文件名稱也並不一定。在最初感染的郵件中,所附的文件名為「List.doc」而病毒歷經數次的散佈之後,還經常保有此一文件名稱。若要辨別是否中毒,可以打開註冊檔(Registry),若出現「Kwyjibo」字樣,便代表「W97M_MELISSA」病毒己成功的感染電腦了。

  • 如何降低中毒的風險?
    趨勢科技提出警告,要留意開啟主旨欄帶有「Important Message From <使用者名字>」及內容含「"Here is that document you ask for...don't show anyone else ;-)」的郵件,即便是你所熟悉的人所發出的信也不要掉以輕心,因為這正是該病毒大量散佈的原因。同時,設法將 MS Word 的巨集保護提高到最高等級。也有許多電腦玩家會在 Outlook 97/98 中新設一個清除郵件的規定:凡是收到具有上述特徵的電子郵件,一律自動清除。

  • Microsoft Exchange Mail 系統管理者,可至免費線上掃毒。

Melissa 病毒小檔案

  • 美國時間3月26日(週六)在美國擴散,數以萬計電腦被襲擊,著名大企業甚至被迫關閉電子信箱

  • Melissa 病毒幾乎在同一時間傳到台灣,收假後的星期一上班時間,讓許多網管人員見識到 Internet 傳播病毒的驚人速度

  • 由於影響層面擴及政府機關,美國陸戰隊也深受其害,美國聯邦調查局( FBI)開始展開通緝令,決心逮捕 Melissa 病毒作者。

  • Melissa 病毒發病後的第二天新的變種病毒Papa 也來攪局,Papa 屬於 Excel 文件巨集病毒,它會自動散播 60 封的 E-mail 。感染 Papa 病毒的 Email 會在主旨欄出現出現這樣的標題: "Fwd: Workbook from all.net and Fred Cohen"它的內容為:"Urgent info inside. Disregard macro warning"

  • "Melissa 的爸爸" 是個蹩腳的仿冒品: 趨勢科技亞太病毒防治中心產品經理紀孟宏表示:「Papa 病毒的威力將不似 Melissa 那麼強大,因為它的程式本身有 Bug。當使用者開啟帶有病毒的 Excel 附件檔時,它並不會感染其他尚未中毒的 Excel 試算表,不像 Melissa 一旦開啟 Mail 中的附件檔,之後開啟的 Word 即會遭受感染,並透過 Outlook 展開連鎖感染。也就是說 Papa 並沒有複製病毒程式的能力,它只會將原始的中毒文件透過 Email 廣為流傳。」

  • 據美國卡內基大學電腦緊急應變小組(CERT)表示,Melissa 已經造成全球 10 萬台電腦感染該病毒。7.3天後 Melissa 作者史密斯現形,罪名包括擾亂公共通訊罪、破壞電腦系統罪,最高可能被判以 40 年徒刑和 48 萬美元罰鍰。據說 Melissa 是取自佛羅里達州一名上空舞孃的花名。

 

產品介紹用戶下載專區技術支援採購指南
經銷商專區IT菁英會TCSE專區網路安全百科
           


Copyright 1989-2003 Trend Micro, Inc. All rights reserved. Legal notice