WORM_DOWNAD病毒是一種透過多種管道攻擊其他電腦的病毒。當企業內部一旦感染這種複合型攻擊的病毒時，若沒有事先做好應對的措施，很容易因為資安環境有弱點而在短時間內造成嚴重的傷害，趨勢科技工程師在這次處理WORM_DOWNAD病毒問題中發現了一般企業容易忽略到的一些資安弱點，藉由此篇技術通報來提醒資訊人員應注意哪些地方，一旦落實資安政策便可降低病毒爆發的風險。
下圖是WORM_DOWNAD的攻擊行為示意圖：

WORM_DOWNAD具有以下幾種特性：

• 透過MS08-067的系統弱點攻擊電腦
• 利用密碼字典攻擊法登入Admin$\system32資料夾執行病毒檔案，並在工作排程中新增工作項目產生病毒檔案
• 在可攜式磁碟機與網路磁碟機中產生病毒檔案與Autorun.inf，可透過USB可攜式裝置感染其他系統
• 主動連線特定URL下載其他病毒檔案

針對上述特性，趨勢科技提供了以下幾項建議：

未定期更新修正程式，生產線與OA區網路沒有做實體切割

WORM_DOWNAD一開始出現的時候，是透過MS08-067的弱點攻擊作業系統，由於該病毒出現時修正程式剛發佈不久，許多企業還來不及更新作業系統。部份企業因生產線無法停擺，安裝修正程式需要排程規劃。一旦遇上攻擊系統弱點的病毒，很容易就在短時間內就快速散播，唯有安裝修正程式才能避免遭受病毒再次攻擊。若無法在短時間內安裝修正程式，請務必將生產線與OA區網路做實體切割，一般生產線的機器並不需要可以連線Internet，若沒有將網路做實體切割，病毒很可能由OA區攻擊生產線的電腦，嚴重時可能會癱瘓生產線造成企業很大的損失。

管理者帳戶密碼沒有定期更新，沒有規定密碼複雜度

趨勢科技工程師在處理幾家企業的病毒問題時，常發現明明這家公司都有更新了系統的修正程式，卻仍然還有WORM_DOWNAD病毒在內部流竄，檢查後才發現一般資安人員在為公司電腦安裝系統時，大多使用Ghost等備份軟體以便節省安裝系統的時間，而使用者可用網域帳戶登入系統執行作業。該做法雖然省時省力，卻忽略了本機的管理者帳戶密碼未修改的風險。而後期的WORM_DOWNAD病毒，利用字典密碼攻擊法的方式，使用常見的密碼清單嘗試登入Admin$植入病毒檔案並執行。所以就算系統已經安裝了最新的修正程式，仍然會被植入病毒檔案。因此，建議資訊人員在安裝系統後立即修改系統管理者的密碼，且必須要有足夠的複雜度，或是停用本機管理者帳號。若用戶使用網域帳戶登入系統，建議企業內部應制定策略定期更新使用者密碼，避免病毒利用字典密碼攻擊法的方式散播病毒。

未建置HTTP閘道端防毒，無法攔截特定檔案類型

Web Threat已經是近幾年來病毒散播的趨勢，利用HTTP通訊協定下載惡意程式到電腦中，不易防堵。WORM_DOWNAD同樣也會透過HTTP的方式下載其它惡意程式至受感染的電腦。但我們發現仍有少數企業未針對HTTP的通訊協定建置防毒。使得病毒容易透過網頁的方式感染用戶端，不只WORM_DOWNAD病毒，許多時下常見的特洛伊木馬或後門程式也大多由HTTP而來，是最不容易防堵的一個感染來源。因此，我們建議企業應建置HTTP閘道端防毒，除了控管使用者能存取的網頁類型與過濾惡意網站外，最好能設定阻擋特定的檔案類型，例如scr、pif、exe等執行檔，並使用True File Type掃描才能識別檔案的真正類型。

開啟防火牆，記錄攻擊來源

建議一般用戶端可開啟防火牆來阻擋這類型的網路型病毒，而且透過系統弱點攻擊電腦的病毒大多會在防火牆留下記錄，資訊人員可根據防火牆的記錄檔搜尋攻擊來源的IP，一方面利用防火牆阻止病毒擴散，另一方面可迅速尋找感染病毒的來源用戶端。

外來使用者或筆記型電腦用戶沒有適當的管理，資產管理並未完善

我們在碰到某些客戶處理WORM_DOWNAD病毒問題時，雖然根據病毒紀錄檔可以找到感染來源的IP，但少數企業因資產管理不夠完善，可能會無法找到某些IP所對應的用戶端是在哪裡，所以無法徹底解決病毒問題。還有的資訊人員認為已經設有防火牆，病毒到底是從何而來？等到找到感染來源時才發現，原來是筆記型電腦的使用者從外面把病毒帶到企業裡，或是使用者擅自使用3G網卡上網而下載到病毒檔案。有些甚至是合作廠商來檢測或維護設備時將自己攜帶的電腦接上公司網路，病毒就從這些地方擴散至整個網路。正因為這部份的使用者較難掌控電腦的狀況，常常變成病毒爆發的感染來源，使資訊人員疲於奔命。所以趨勢科技建議資訊人員可以針對外來使用者與筆記型電腦用戶規劃獨立的網路區域，避免病毒藉由內部網路感染OA區的電腦。平時資產管理務必確實執行，了解公司內部電腦的IP資訊，方便查閱，可迅速找出感染來源，以免延誤時機造成難以收拾的狀況。

部分用戶端沒有安裝防毒軟體

這樣的問題其實是常常會發生的，有的也許是因為環境的限制或是作業系統太過老舊，無法安裝防毒軟體，當企業內部有病毒問題時才會發現原來仍有少數用戶端是沒有安裝防毒軟體，或是使用者任意卸載或停用防毒軟體，造成資安環境產生弱點，若是使用趨勢科技產品的客戶，建議可定期使用TMVS掃描企業內部電腦是否均安裝防毒軟體，並從主控台設定防止用戶卸載或移除防毒軟體的權限。

控管USB裝置，停用自動播放功能

USB裝置的大量普及，成了病毒散播的管道之一，就算限制電腦不能連接Internet，透過USB裝置病毒仍舊可以攻擊其他電腦。WORM_DOWNAD感染電腦後會搜尋USB裝置並植入autorun.inf與病毒檔案，倘若使用者在中毒的電腦上使用USB裝置，USB裝置就會夾帶病毒檔案，只要將中了毒的USB裝置拿到其他電腦使用，病毒就可藉此感染其他電腦。趨勢科技建議資訊人員應嚴格控管USB裝置的使用，並建議停用USB裝置自動播放功能，避免裝置一插入系統中就自動執行病毒檔案。如何停用USB裝置請參考技術通報-USB病毒防治要點

分享資料夾沒有做好權限控管

檔案伺服器通常是病毒大量擴散的一個關鍵點，因為檔案伺服器就是提供使用者分享資料與檔案，一旦檔案伺服器感染病毒，只要使用者去存取檔案伺服器上的檔案，病毒就會藉此感染自己的電腦。WORM_DOWNAD病毒會將病毒檔案植入網路磁碟機中，誘使使用者執行以便感染其他電腦。所以趨勢科技建議您，若非必要，管理者應將分享資料夾設定為唯讀，或是針對使用者的性質給予不同的存取權限，可降低病毒利用分享資料夾散播病毒的風險。WORM_DOWNAD病毒使用多種不同管道散播病毒檔案，對企業資安環境造成莫大的衝擊，趨勢科技提供上述建議供資訊人員參考，若您的企業曾經有過上述的情況，請根據內部的感染情況釐清企業潛藏的風險威脅，儘早訂定或修改資訊安全策略，避免再次因病毒爆發而讓企業造成損失。

近期趨勢科技發現了DOWNAD病毒的新變種 - WORM_DOWNAD.KK。該病毒一樣透過MS08-067的弱點攻擊電腦。與之前的DOWNAD病毒相比，WORM_DOWNAD.KK具有以下特性：

• 連接特定的時間伺服器來確認目前的日期與時間
• 刪除特定登錄值讓使用者無法進入安全模式
• 不允許用戶使用與資訊安全相關的程式（包含procexp、regmon、autoruns、gmer等等工具）
• 封鎖用戶端連結與資訊安全或防毒軟體相關的網站
• 根據當前的時間一次產生五萬個惡意程式網址並試圖在同一時間內隨機連結其中500個惡意網站下載病毒

＠本文來源：趨勢科技技術通報