蠕蟲清除

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2008-01-07

Forefront Security for Exchange Server 可讓您設定 [傳輸掃描工作] 及 [即時掃描工作],來清除受蠕蟲感染的郵件。蠕蟲清除是一種強大的新功能,可在攻擊對網路造成危害之前加以抑制。Forefront Security for Exchange Server 會使用定期更新且名稱為 WormPrge.dat 的蠕蟲清單來識別蠕蟲郵件,該蠕蟲清單是由 Microsoft 維護,更新方式與防毒掃描引擎相同。WormPrge.dat 檔案通常包含由目前的協力廠商掃描引擎所報告的蠕蟲名稱(請注意,每個掃描引擎可能會以不同方式來報告蠕蟲名稱)。

注意事項注意:
因為蠕蟲清除清單在有需要時才會更新,所以其更新頻率不會像防毒引擎那麼頻繁。

即時掃描工作會使用登錄機碼 RealtimePurge 來判斷是否啟用蠕蟲清除。Microsoft 登錄機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS \VirusScan\EnableScanDeletion 可判斷是否啟用 VSAPI 郵件清除。如果您有設定 EnableScanDeletion 機碼,則當即時掃描工作找到應該清除的郵件本文或附件時,就會將訊息 VIRSCAN_DELETE_MESSAGE 傳送到 FSEVSAPI,而 Exchange 就會刪除整份郵件。

您必須等到清除整份郵件之後,才能夠存取該郵件。Forefront Security for Exchange Server 的即時郵件清除不支援隔離功能。

如果傳輸掃描程式判斷有郵件受到蠕蟲感染,就會刪除整份電子郵件來加以清除。此程式會對輸入和輸出 Edge 傳輸或 Hub 傳輸訊息進行清除動作,受感染郵件的預定收件者並不會收到訊息或通知,而且您也無法還原由傳輸掃描程式清除的郵件。

只要選取 [檔案篩選] 工作窗格上的 [傳送通知],您就可以將傳輸掃描程式設定為傳送通知給系統管理員及寄件者。但您無法將它設定為傳送通知給已清除蠕蟲之郵件的收件者,因為這樣就無法清除由蠕蟲產生的郵件。

即使您啟用隔離,也無法隔離由傳輸掃描程式所清除的蠕蟲病毒 (郵件及附件)。這個限制是為了要防止隔離檔案接收到大量的相同郵件。

Forefront Security for Exchange Server 不支援在手動掃描期間清除郵件。

為了防止新的蠕蟲威脅在掃描程式引擎更新之前就散播開來,您可以將蠕蟲產生的郵件的附件名稱放在 [檔案篩選] 工作窗格下的檔案篩選清單中。請存取 [檔案篩選] 工作窗格並將新項目加入檔案名稱清單,即可完成此動作。新增項目之後,選取動作 [清除:消除郵件]。

根據預設,系統會將檔案篩選設定為傳送通知給系統管理員及寄件者。但您無法將它設定為傳送通知給已清除蠕蟲之郵件的收件者,因為這樣就無法清除由蠕蟲產生的郵件。

注意事項注意:
當您選取 [清除:消除郵件] 選項時,系統會刪除整份郵件,且您將無法還原該郵件。除非您要在病毒掃描程式更新發行前清除蠕蟲郵件,否則不建議您選取此動作。

和隔離非蠕蟲郵件不同的是,即使您選取 [隔離郵件],系統也只會隔離觸發篩選的附件,並刪除郵件本文及任何其他附件。篩選蠕蟲郵件時,這樣的設定不會造成任何問題,因為郵件本文並無價值,而且應該也不會包含任何其他附件。

您可以設定傳輸掃描程式與即時掃描程式,在清除郵件時傳送各種通知郵件給蠕蟲管理員。此外,當檔案篩選清除郵件時,可以傳送通知。如有需要,可以在 [通知設定] 工作窗格中修改所有通知,如電子郵件通知所述。

安裝或升級 Forefront Security for Exchange Server 時,系統預設會啟用蠕蟲清除功能。WormPrge.dat 會安裝在 Wormlist\Bin 資料夾中,而該資料夾位於 Forefront Security for Exchange Server 的安裝目錄中。若要停用 [傳輸掃描工作] 的蠕蟲清除功能,在 Forefront Security for Exchange Server 登錄機碼下的 [TransportPurge] 登錄值必須設為 0。若要停用 [即時掃描工作] 的蠕蟲清除功能,在 Forefront Security for Exchange Server 登錄機碼下的 [RealtimePurge] 登錄值必須設為 0。

注意事項注意:
每次更改這些登錄值之後,必須回收 Exchange IMC 服務,對 [傳輸掃描工作] 的變更才會生效,此外也必須回收 Exchange Information Store,對 [即時掃描工作] 的變更才會生效。

Microsoft 找到新的蠕蟲威脅時,就會更新蠕蟲識別清單。當此情況發生時,就會傳送通知給所有的 Forefront Security for Exchange Server 客戶,並提供新的更新程式供 Forefront Security for Exchange Server 下載。此程序與用來更新病毒掃描引擎的程序相同。有兩種方法可讓您執行更新程式:手動或排程。順利更新之後,Wormlist\Bin 資料夾將會包含 WormPrge.dat 檔案的最新版本,且將建立 LastKnownGood 資料夾來包含舊的 WormPrge.dat 檔案。如需如何執行更新程式的相關資訊,請參閱檔案掃描程式更新

系統管理員可以建立自訂蠕蟲清除清單 (CustPrge.dat),以指定 Wormprge.dat 檔案未包含的其他病毒名稱,或是建立清單以清除確定受到病毒感染的所有郵件。如此便可依據蠕蟲清除清單和自訂清除清單來檢查感染的郵件和檔案。

建立自訂蠕蟲清除清單
  1. 在 [WormList] 引擎資料夾 (位於 Forefront Security for Exchange Server 安裝資料夾) 中,建立一個名為 [CustomList] 的新資料夾。

  2. 在 [CustomList] 資料夾中,建立一個名為 [CustPrge.dat] 的文字檔案。

  3. 將您想要清除的病毒名稱輸入 CustPrge.dat。每個病毒名稱都必須自成一行,後面加上換行字元。您可以從防毒引擎更新通知或防毒引擎廠商網站取得這些名稱。輸入時可以包含星號 (*) 萬用字元。

    注意事項注意:
    如果不同的防毒公司以不同的名稱來稱呼相同的病毒,您應在 CustPrge.dat 檔案中包含所有不同的名稱,才能獲得完全的防護。
  4. 如果您要清除所有受病毒感染的郵件,請輸入只由一個星號 (*) 組成的一行文字,後面加上換行字元。這樣就會清除所有確定受感染的郵件。

    注意事項注意:
    因為這樣做會清除所有受感染的郵件且無法還原,因此不建議您使用此程序。相反地,我們建議您針對非蠕蟲病毒使用 [刪除] 或 [清理] 選項,因為這些選項可讓您隔離受感染的郵件及檔案。
  5. 回收 Microsoft Exchange Transport 服務。

 
顯示: