清除受蠕蟲感染的 IM 訊息和檔案傳輸

 

適用於: Forefront Security for Office Communications Server

主題上次修改日期: 2008-09-15

Microsoft Forefront Security for Office Communications Server (FSOCS) 可讓您設定 IM 掃描工作,清除受蠕蟲感染的訊息和檔案。蠕蟲清除是一種強大的功能,可在攻擊對網路造成危害之前加以抑制。FSOCS 會使用定期更新的蠕蟲清單 WormPrge.dat 來識別蠕蟲訊息,該蠕蟲清單是由 Microsoft 維護,更新方式與防毒掃描引擎相同。WormPrge.dat 檔案通常包含由目前的協力廠商掃描引擎所報告的蠕蟲名稱。

注意事項注意:
每個掃描引擎可能會以不同方式來報告蠕蟲名稱。
注意事項注意:
蠕蟲清單中的定義與防毒掃描引擎使用的定義有所不同。蠕蟲清單包含一般蠕蟲名稱項目。如果日後有蠕蟲屬於曾經偵測到的蠕蟲家族,這些項目便可加以防制。例如,如果偵測到名為 Win32/abcdef.A@mm 的新蠕蟲,FSOCS 就會更新蠕蟲清單,將 *abcdef* 等一般項目納入。這個項目適用於相同病毒的任何新變種,例如 Win32/abcdef.M@mm。由於蠕蟲清單包含一般蠕蟲名稱項目,因此不需要像防毒掃描引擎那樣經常更新。

當 IM 掃描工作判定訊息或檔案受到蠕蟲感染時,會將訊息或檔案整個刪除以進行清除。您無法還原由 IM 掃描程式所清除的郵件。

只要選取 [檔案篩選] 窗格中的 [傳送通知] 核取方塊,就可以將 IM 掃描工作設定為傳送通知給系統管理員及寄件者。但您無法將 IM 掃描工作設定為傳送通知給已清除蠕蟲之郵件的收件者,因為這樣就無法清除由蠕蟲產生的郵件。

即使您啟用隔離,也無法隔離由 IM 掃描程式所清除的蠕蟲病毒 (郵件及附件)。這個限制是為了要防止隔離資料庫接收到大量的相同郵件。

為了防止新的蠕蟲威脅在掃描程式引擎更新之前就散播開來,您可以將蠕蟲產生的郵件的檔案名稱放在 [檔案篩選] 窗格下的檔案篩選清單中。

存取 [檔案篩選] 窗格 (如需相關資訊,請參閱 FSOCS 檔案篩選),然後將新項目加入至檔案名稱清單。 將 [動作] 設定為 [封鎖: 防止傳輸]。

根據預設,系統會將檔案篩選設定為傳送通知給系統管理員及寄件者。

您可以設定 IM 掃描工作,在清除郵件後傳送通知郵件給系統管理員。此外,當檔案篩選清除郵件時,可以傳送通知。如有需要,您可以在 [通知安裝程式] 窗格中修改所有通知如需相關資訊,請參閱 FSOCS 事件通知

安裝或升級 FSOCS 時,預設會啟用蠕蟲清除功能。WormPrge.dat 會安裝在下列資料夾中 (此資料夾位於 FSOCS 的安裝目錄中):

Data\Engines\x86\Wormlist\Bin

若要停用 IM 掃描工作的蠕蟲清除功能,您必須以 0 值設定 IMPurge 登錄機碼。如需這些機碼 (包括其位置) 的相關資訊,請參閱 FSOCS 登錄機碼

注意事項注意:
每當變更這些登錄值時,您必須回收 ForefrontRTCProxy 服務,才能使變更生效。如果您不想要回收服務,則另一個讓新設定生效的方法就是使用 FSCStarter 先停用掃描工作,然後重新啟用 (如需 FSCStarter 的相關資訊,請參閱 FSOCS 範本)。

Microsoft 找到新的蠕蟲威脅時,就會更新蠕蟲識別清單,並透過用於更新病毒掃描引擎的相同程序,提供新的更新程式讓使用者下載。您可以透過排程或手動的方式進行更新。順利更新之後,下列資料夾將會包含最新版的 WormPrge.dat 檔案:

Data\Engines\x86\Wormlist\Bin

舊的 WormPrge.dat 檔案則包含在下列資料夾中:

LastKnownGood

如需執行更新的相關資訊,請參閱 FSOCS 檔案掃描程式更新

系統管理員可以建立自訂蠕蟲清除清單 (CustPrge.dat),以指定 Wormprge.dat 檔案未包含的其他病毒名稱,或是建立清單以清除確定受到病毒感染的所有郵件。如此便可依據蠕蟲清除清單和自訂清除清單來檢查感染的郵件和檔案。

建立自訂蠕蟲清除清單
  1. 在下列資料夾中建立名為 CustomList 的新資料夾:Microsoft Forefront Security\Office Communications Server\Data\Engines\x86\Wormlist

  2. 在 [CustomList] 資料夾中,建立名為 CustPrge.dat 的檔案。

  3. 使用文字編輯器,將您想要清除的病毒名稱輸入 CustPrge.dat。每個病毒名稱都必須自成一行,後面加上換行字元。您可以從防毒引擎更新通知或防毒引擎廠商網站取得這些名稱。輸入時可以包含星號 (*) 萬用字元。

    注意事項注意:
    如果不同的防毒公司以不同的名稱來稱呼相同的病毒,您應該在 CustPrge.dat 檔案中包含所有不同的名稱。
  4. 如果您要清除所有受病毒感染的郵件,請輸入只由一個星號 (*) 組成的一行文字,後面加上換行字元。這樣就會清除所有確定受感染的郵件。

    注意事項注意:
    因為這樣做會將所有受感染的郵件清除而無法還原,所以不建議您使用此程序。相反地,我們建議您針對非蠕蟲病毒使用 [刪除] 或 [清理] 選項,因為這些選項可讓您隔離受感染的郵件及檔案。
  5. 回收 ForefrontRTCProxy 服務。

 
顯示: