2024年3月7日发(作者:)

worm_病毒查杀

王建西 2011.04.05

1:发现病毒:

从3.29号起,windows2003系统的服务器上趋势科技放病毒时常报出病毒,并且扫描结果是已删除,当时察看其日志文件以及感染病毒的文件夹,确认病毒已经删除,但是在晚上的服务器巡检中,登陆到服务器又看到趋势的查杀警报,并且已经明显的由原来的一台服务器主机扩散到三台服务器主机。

服务器病毒查杀日志如下:

2:分析病毒:

通过网络查阅资料,发现网络中对这个病毒求救声一片,帖子中有很多解决办法,尝试了几次,都没有任何效果。经过一天的斗争,对这个病毒算是有了比较深入的了解

1) 这个病毒是局域网的蠕虫病毒,就是寄生在局域网的某台电脑上,然后通过局域网攻击其他电脑,试其他电脑的密码

2) 它的精明之处在于注册成迷惑人的系统服务,自动从远端下载更新,利用系统漏洞进行攻击

3) 使用可移动存储设备的Autoplay传播,还能使用字典攻击破解复杂度不高的密码获得权限。

4) 其特征为主动进攻,暴力破解计算机登录密码后潜伏,待发作时向端口发送大量垃圾包堵塞网络

5) 该病毒透过微软安全漏洞展开攻击,一旦计算机被感染,首先会关闭安全防护或杀毒软

件,进而攻击445端口,造成网络严重堵塞,数据服务中断

6) 所以关键就是要找到病毒源,然后再用专杀工具干掉。

3:杀毒过程:

一:根据杀毒软件报毒的文件夹信息,查看文件是否存在。进行手动清理。(这一招用完没有效果)

二:WORM_DOWNAD有一系列的变种病毒,并且会伪装成系统文件,所以删除病毒文件的做法是危险的,不可取的。只能再想其他办法

三:利用专杀工具查杀,由于是蠕虫病毒,为了杀毒后不再感染其他主机,所以断网查杀很有必要。

四:分别在已感染的主机查杀之后,对各个服务器全面升级,并且打上补丁MS08-067

五:这一步完成之后,服务器依然报毒。

六:打开趋势杀毒的web页面,查看日志文件,发现了问题所在。

如下图:

根据日志文件,找到了病毒源。

这就是这个病毒的最精明之处,病毒在某台主机爆发之后,杀毒工具并查不到这台主机,而是在同一局域网内全面爆发,杀毒工具虽然能及时的防止病毒的破坏,但并不能从根源部分杀掉,所以杀毒工具会一直报警而束手无策。Ok。现在找到了病毒源,在这台主机上运行专杀工具,修补所有漏洞,打上MS08-067补丁。升级杀毒软件做一次全面的扫描。这一步做完之后,杀毒成功。

回顾整个解决过程有喜悦也有辛酸,从发现病毒到清除病毒用了四整天时间,其中的煎熬非常难忘。

简单总结:

综合WORM_病毒特征和在清除病毒过程中的心得,简单总结如下:

一:加强系统补丁的安装管理

众所周之,大多病毒或黑客均通过系统漏洞进行攻击和破坏

二:提高安全防范意识。

用到的工具:

专杀工具

/tool/

微软08-067补丁:/technet/security/bulletin/