日前已证实在Symantec及Trendmicro的用于门户网站的防病毒软件中,存在有时无法检查出“Sircam”的缺陷。即使使用最新的检查病毒用的数据文件,有时也无法检查出该病毒。
存在此问题的是Symantec的“Norton AntiVirus 1.5 for FireWalls”和“Norton AntiVirus 2.1/2.51 for Gateways”,Thendmicro的“InterScan VirusWall for Windows NT 3.x”*。Thendmicro于7月26日在该公司的Web站点上公开了补丁程序。另外,Symantec已于7月27日起向用户公布修正了该缺陷的版本。
两家公司都表示,上述产品并不是完全不能检查出Sircam病毒,而是“有时无法查出”。现在正在全球肆虐的Sircam病毒是将自身添加到邮件中扩散感染的病毒。在将自己发送出去时,Sircam从发送方的机器中随机选择文件,将其嵌入病毒文件。因此,不仅仅是文件名,就连文件的内容本身也因发送方不同而各异。在这些文件中的一部分内容中,上述产品无法正确识别Sircam病毒来。
据两家公司称,问题出在邮件(确切地说应该是附件)的编码数据上。一般来说,二进位制文件等也可以发送,附件根据MIME形式的不同,将采用Base64等编码。具有邮件发送功能的Sircam病毒可以用自身将病毒文件进行编码之后将其发送出去。此时,对于某些文件,Sircam病毒可以将其编码为防病毒软件不能将其识别为附件的字符串。
躲过防病毒软件检查的包含病毒的邮件,在经过普通的邮件软件解码后又还原为原来的文件。因此,如果用户打开收到的病毒邮件,该病毒就会开始感染并发作。
如上所述,由于无法识别编码数据中的病毒,因此只有即时监视邮件(SMTP)的传输信息量的网关产品才会受到影响。两家公司的台式机用产品及群件用产品等将不会受到此问题的影响。因为这些产品是用邮件软件等其它的软件将邮件解码后再对文件进行检查。
具体的对策是安装补丁程序及修正版本。Trendmicro已经在该公司的Web站点上公开了补丁程序。
另外,关于“InterScan VirusWall for Windows NT 3.x”,已证实当病毒文件扩展名为“.lnk”时存在不进行检查的问题。不过,.lnk是同Windows的快捷方式文件相关的扩展名,即使双击此文件,也不会发生病毒感染发作的情况。因此,不检查.lnk文件是该产品此前的标准。
但是,“如果用户改变相关内容,也不能完全排除.lnk文件执行病毒文件的可能性”(Trendmicro)。因此为了以防万一,该公司修正并公开了搜索引擎以便能够对.lnk进行检查。
Symantec已备好对缺陷进行了修正的小型升级版产品。至于“Norton AntiVirus 2.1/2.51 for Gateways”,该公司已于7月27日向用户公布。而“Norton AntiVirus 1.5 for FireWalls”,该公司则于7月28日起公布。而且,在与该公司没有业务关系的情况下,用户如果同该公司的技术支持部门取得联系,就可以得到相应的解决方案。
两家公司均劝告用户在防病毒软件的缺陷得到修正之前,绝对不能打开可疑的附件,或者采用台式机的防病毒产品来对付此病毒。在使用可以检查邮件内容的门户网站产品时,过滤Sircam病毒特有的文本“Hi! How are you?”或者“Hola como estas ?”等也可以起到效果。但是,这毕竟只是一种暂时的对策,如果遇到病毒变种它就会失去作用。因此有必要尽早使用补丁程序及升级版本。另外,必须坚守的前提是经常更新采用最新的病毒检查数据文件。
* 3.x以前的版本中虽然也存在同样的问题,但现在不在支持之列。(IT Pro)
短信发送,浪漫搞笑言语传情
订科技短信第一时间掌握IT业界动态
点击此处订阅手机短信NASDAQ最新行情
|