第二天

　　根據Sygate實驗室的分析，即使一到兩只蠕蟲，在瘋狂發包的情況下，都能夠癱瘓桌面交換機乃至樓層交換機。由于全網統一殺毒非常困難，且逐個端點殺毒的時間太長，采用病毒治理的方法不可能在剩余的兩天時間內完成領導的要求。于是Sygate建議分兩步走，首先在網絡端點上對病毒進行隔離，杜絕其對網絡的沖擊。其次再謀求根除病毒，并修復系統漏洞。

　　由于Sygate客戶端有主機防火墻的模塊。利用該模塊我們可以做應用程序控制，以及連接控制。Sygate系統還有自學習的能力，它能夠自動發現網絡中所有的應用程序。利用這兩個功能，我們在中控臺上輕松制定出一個網絡程序黑名單，將所有學習回來的蠕蟲及病毒列入其中。黑名單中的程序將失去訪問網絡的權限。這樣即使安裝有Sygate的網絡節點感染了上述病毒，這些病毒也被隔離在本地系統之上，無法擴散和影響網絡。

　　有意思的是，五毒蟲病毒包含大量與常見進程同名的二進制文件，例如IEXPLORE.EXE，NetMeeting.exe，COMMAND.EXE等。這些進程企圖混淆視聽，逃避安全方案中黑名單的制裁。Sygate特有的應用程序指紋自動生成功能，幫助用戶死死鎖定惡意程序，而不影響正常進程的使用。

　　同時我們還配置了規則，封閉了上述病毒使用到的一些端口。這個規則配合HIDS模塊，可以起到雙保險的作用，防止沒有感染的終端被病毒入侵。

　　隨后，應急響應小組以各種方式動員用戶安裝sygate客戶端，在隨后的兩天時間里，很快部署了600多個節點，覆蓋了網絡中的所有的終端。網絡最終恢復到穩定的狀態。

　　第三天

　　最后一天，我們利用Sygate系統進行統計分析，總結事故的直接原因：

　　1. 補丁缺失嚴重，未打關鍵補丁的機器比例高大65%。例如，財務辦公區所有Win2000__僅打了SP3.機器買回來后，系統就再也沒有更新過。

　　2. 不能上互聯網的區域反而成了重災區。例如計費網和OA服務器區。因為不能連接互聯網，所以安全意識疏忽，系統也疏于升級。

　　3. 很多筆記本終端上收集到多個IP，原來他們在連接到內網的同時，還使用CDMA連接到互聯網。因為CDMA的使用對于部分用戶來說是免費的，這樣導致交叉感染。

　　4. 大量的機器使用空口令，為口令蠕蟲大開方便之門

　　最后增加了如下規則

　　1. 在內部架設SUS服務器，設定規則，所有Sygate客戶端將重定向到內部SUS服務器，自動升級補丁

　　2. 強制檢查關鍵補丁，如果關鍵補丁缺失，開啟IE，自動連接到內部安全網站的相關頁面，幫助用戶了解問題，并提供下載鏈接

　　3. 一旦Sygate客戶端檢查到重大病毒進程在運行，自動分發病毒專殺工具到用戶主機。

　　4. 給筆記本用戶設置兩套自適應規則，當在內網時，禁止其使用CDMA撥號適配器

　　5. 啟用了強口令，系統文件保護，禁止匿名訪問等一系列系統加固策略