2009年2月9日 星期一

lnk 附件木馬

對於此木馬的描述,請看前文「病毒:我設計的你看看」。

由於此類木馬,透過電子郵件傳播時,附件以「lnk」格式存在,亦即所謂的「捷徑」,各家防毒系統都不會加以阻攔。因為捷徑本身並不是病毒,捷徑本身所指的位置(或動作)才可能是病毒。

近來此類病毒由於可以穿透各防毒系統,似乎有越來越氾濫的趨勢。小弟在此提供幾個建議:

使用者端:
使用較聰明的客戶端郵件軟體,透過過濾規則將此類郵件濾除,避免誤點。
例如 Gmail 可以進入
Settings / Filters / Create a new Filter / Has the words: 「lnk」 / 勾選「Has Attachment」 / Delete it (英文介面)
設定 / 篩選器 / 建立新的篩選器 / 包含字詞: 「lnk」 / 勾選「有附件」/ 選擇動作「刪除此會話群組」
(中文介面)

管理者端:
直接針對 mail server 進行修改,阻擋 lnk 格式的附件。
例如修改 amavisd.conf,在過濾 exe、bat 的地方,再加上lnk。
然後防火牆直接過濾捷徑連上的伺服器,例如:lin31003100.3322.org