巧用瑞星防火墙解决局域网络打印机自动打印故障

2024年5月25日发(作者：)

维普资讯

医学信息２００８年８月第２１卷第８期ＭｅｄｉｃａｌＩｎｆｏｒｍａｉｔｏｎ．Ａｕｇ．２００８．Ｖｏ１．２１．Ｎｏ．８　

巧用瑞星防火墙解决局域网络打印机自动打印故障　

齐泉，刘聪，李响　

（解放军第１６Ｉ医院信息科，湖北武汉４３００１０）　

摘要：对于没有划分ＶＬＡＮ和安装网络版杀毒软件的医院局域网，由于信息传播经常会不可避免地受到病毒的感染与破坏，有　

些病毒变种非常复杂，危害性很大，彻底清除很困难。最近在医院局域网中出现一种病毒，其现象是　些部门的联网激光打印　

机经常无缘无故不定时自动打印，不仅浪费纸张，而且影响正常工作。本文介绍了使用瑞星防火墙的黑名单功　能解决这种网络　

病毒的一种行之有效的解决方法。　

＼　

。　

关键词：局域网；病毒；黑名单　

０引言　

１．３同时病毒会在病毒文件夹下生成：％病毒当前目录下％　

＼ｖｉｄｌ１．ｄｌｌ　

我院局域网有２４５台主机，５２台打印机，局域网没有划　

分ＶＬＡＮ也没有网络版杀毒软件，近来医院各部门的激光打　

１．４病毒搜索盘中所有可用分区中的ｅｘｅ文件，然后感染所有　

大小２７ｋｂ一１０ｍｂ的可执行文件，感染完毕在感染的文件夹中　印机经常无缘无故不定时自动打印，每次都是打印纸上方出　

现一行系统日期、乱码或其他字符，打印任务栏自动堆积远程　

下层文档，此情况造成医院各科室打印纸极大的浪费并严重　

影响了各科室正常的打印工作。　

经反复检测和试验，用最新杀毒软件对打印机所联电脑　

检查发现，机器感染了威金系列变种病毒（ｗｏｒｍ．ｖｉｋｉｎｇ．ｄｒ或　

ｗｏｒｍ．ｖｉｋｉｎｇ．ｄｒ），或者是Ｗｏｒｍ．Ｗｉｎ３２．Ｖｉｋｉｎｇ木马相关程序　

Ｌｏｇｏｌ

一

生成大量：ｄｅｓｋｔｏｐ．ｉｎｉ（文件属性：系统、隐藏。）　

１．５病毒会尝试修改％ＳｙｓＲｏｏｔ％ｋｓｙｓｔｅｍ３２＼ｄｆｉｖｅｒｓｋｅｔｃ￣ｈｏｓｔｓ文　

件。　

１．６病毒通过添加如下注册表项实现病毒开机自动运行：　

【ＨＫＥＹ—　０ＣＡＬ＿ＭＡＣＨＩＮＥ￣Ｓ０ＦＩＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎ—　

ｄｏｗｓ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ￣Ｒｕｎ］　

”ｌｏａｄ”＝”％Ｗｉｎｄｉｒ％Ｌｒｕｎｄｌ１３２．ｅｘｅ”　

．

ｅｘｅ＞ｕｐａｃｋｏ．３２，该病毒在Ｗｉｎｄｏｗｓ平台对可执行文件　

感染、通过网络传播。通过网络下载木马、后门程序或其它复　

合型病毒，病毒运行后将自身伪装成系统正常文件，以迷惑　

【ＨＫＥＹ　ＣＵＲＲＥＮＴ　ＵＳＥＲ、Ｓｏｆ　ａｒｅ＼Ｍｉｃｒｏｓｏｆｔｌ、Ｗｉｎｄｏｗｓ　

ＮＴ￣ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｗｉｎｄｏｗｓ］　

”ｌ０ａｄ”＝”％Ｗｉｎｄｉｒ％￣ａｕｎｄｌｌ　３２．ｅｘｅ＂　

用户，通过修改注册表项使病毒开机时可以自动运行，同时　

病毒通过线程注入技术绕过防火墙的监视，连接到病毒作者　

指定的网站下载特定的木马或其它病毒，同时病毒运行后枚　

举内网的所有可用共享，并尝试通过弱口令方式攻击其它机　

器，进而感染目标计算机。运行过程感染用户机器上的可执　

行文件，造成用户机器运行速度变慢，破坏用户机器的可执　

１．７病毒运行时尝试查找窗体名为　

序。　

、　

“ＲａｖＭｏｎＣｌａｓｓ”的程序，查找到窗体后发送消息关闭该程　

１．８枚举以下杀毒软件进程名，查找到后终止其进程　

Ｒａｖｍｏｎ．ｅｘｅ、Ｅｇｈｏｓｔ．ｅｘｅ、Ｍａｉｌｍｏｎ．ｅｘｅ、ＫＡＶＰＦＷ．ＥＸＥ、Ｉ－　

ＰＡＲＭＯＲ　ＥＸＥ，Ｒａｙｍｏｎｄ　ｅｘｅ，ｒｅｇｓｖｃ．ｅｘｅ、ＲａｖＭｏｎ．ｅｘｅ　ｍｅ－　

ｓｈｉｅｌｄ．ｅｘｅ　

行文件，并发出远程打印指令，给用户安全性构成危害。　

找到问题根源后，我们利用单机版瑞星杀毒软件对该问题进　

行了巧妙的处理，下文介绍了该解决方法以供同行参考。　

１病毒感染特征分析　

１．９同时病毒尝试利用以下命令终止相关杀病毒软件　

．

ｎｅｔ　ｓｔｏｐ＂Ｋｉｎｇｓｏｆｔ　ＡｎｔｉＶｉｒｕｓ　Ｓｅｒｖｉｃｅ”　

病毒主要通过共享目录、文件捆绑、运行被感染病毒的　

程序、可带病毒的邮件附件等方式进行传播。主要表现为以　

下症状：　

２解决方案　　’

第一步：以科室为单位首先断网，接下来安装最新版本　

瑞星杀毒软件，如不能查杀，在ｗｉｎｄｏｗｓ管理器先结束ｌｏ—　

１．１病毒运行后将自身复制到Ｗｉｎｄｏｗｓ文件夹下，文件名　

为：％Ｗｉｎｄｉｒ％￣ａｕｎｄｌ１３２：ｅｘｅ　

ｇｏｌ＿．ｅｘｅ和ｒｕｎｄｌ１３２．ｅｘｅ这两个任务，关掉默认共享，写一个　

批处理执行程序把整个硬盘每个目录下的＿ｄｅｓｋｔｏｐ．ｉｎｉ都删　

掉（Ｗｉｎ２０００　ｌ　上环境运行）如下：　

ｄｅｌ　ｃ：ｋ　ｄｅｓｋｔｏｐ．ｉｎｉ／ｆｓ／ｑ／ａ　

ｄｅｌ　ｄＡ

ｄｅｓｋｔｏｐ．ｉｎｉ／ｆ／ｓ／ｑ／ａ　

＿

１．２运行被感染的文件后，病毒将病毒体复制到为以下文　

件：％Ｗｉｎｄｉｒ％ｋｌ０ｇｏ＝ｌ　ｅｘｅ　

‘　

收稿日期：２００８－０５＂２５　

・　

：　』　。　

维普资讯

医学信息２００８年８月第２１卷第８期Ｍｅｄｉｃａｌ　Ｉｎｆｏｒｍａｔｉｏｎ．Ａｕｇ　２００８．Ｖｏ１．２１．Ｎｏ．８　

ｄｅｌ　ｅ：＼

＿

ｄｅｓｋｔｏｐ．ｉｎｉ／ｆ／ｓ／ｑ／ａ　

是：１９２．１６８．０．１—１９２．１６８．１．２５２，部门的ＩＰ段是：　

ｄｅｌ　ｆ：＼

＿

ｄｅｓｋｔｏｐ．ｉｎｉ／Ｖｓ／ｑ／ａ　

１９２．１６８．０．２０—１９２．１６８．０．３０，那就在共享打印机的主机“黑名　

单”　中设置两个ＩＰ地址段：１９２．１６８．０．１—　

电脑要几个分区就加几条删除语句，输完后保存为ＢＡＴ　

１９２．１６８，０．１９，１９２．１６８．０．３１—１９２．１６８．１．２５２。在部门内其它主机　

批处理文件，然后执行一下。　

的防火墙设置／详细设置／规则设置／”黑名单上添加黑名单ＩＰ　

第二步：　

地址，注：此地址段可摘除服务器的ＩＰ地址和网管的ＩＰ地　

进入注册表：找到项目ＤｉｓａｌｌｏｗＲｕｎ，把ｌｏｇｏ１一．ｅｘｅ，　

址。　

ｒｕｎｄｌ１３２．ｅｘｅ，ｋｉｌ１．ｄＵ等启动项删掉。其它地方可能还有它　

们的启动项，用查找方法删掉。运行：ｍｓｃｏｎｆｉｇ把ｒｕｎｄｌ１３２．　

３结束语　

ｅｘｅ去掉。有些ｅｘｅ图标已被感染，（图标变花了），重装感染　通过以上操作，彻底解决了网络共享打印机无故打印的　

的软件。　

问题，原来一些网络打印机平均每天会自动打印３—４次，使　

第三步：　

用以上方法后，这种现象彻底没有了。防火墙黑名单的设置　

这样虽然单机病毒解决了，但是不能避免机器通过网络　

形成了局部的工作组，有效地阻止了网络病毒的传播和攻　

二次感染，需要在提供打印机共享的主机上加装瑞星防火墙　击，并有利于病毒主机的定位。　

并升级到最新版本，在防火墙设置膦细设置／规则设置／”黑名　

编辑　壬鸿兰　

单”中加入不允许打印的ＩＰ地址段，比如整个单位的ＩＰ段　

．

经验交流・　

平阳霉素局部注射治疗翼状胬肉并发晶体混浊　

李军　

（武警汉中市支队卫生队，陕西汉中７２３０００）　

翼状胬肉是眼科常见病，由于手术后易复发，而其它方　

法疗效不确切，目前多采用平阳霉素局部注射进行治疗。近　

２讨论　

年来，我们用此法治疗１５６例（１９８眼），经随访，发现晶体混　

翼状胬肉为肥厚的结膜及结膜下组织由球结膜向角膜　

浊４例，现将典型病例报告如下：　

表面侵袭，将角膜浅层（包括前弹力层）破坏的一种常见外眼　

病，其发生可能与长期的外界刺激（如风尘、Ｅ１晒）有关，病变　

１临床资料　

常为慢性炎症和组织变性，其治疗方法有手术、腐蚀、灼烧、　

患者，王××，女４５岁，农民，于１９９９年１２月因左眼翼状　

冷冻、激光、放射等，这些方法均有一定疗效，但均易复发，特　

胬肉行平阳霉素局部注射（注射前检查左眼胬肉外元其它异　

别是手术复发率达２０～７０％，且这些方法均需一定设备和操　

常，双眼视力均为１．２），将平阳霉素１０ｍｇ溶于ｌｍｌ生理盐水　作技术，所以其广泛应用受到一定限制。平阳霉素是一种抗　

中，患眼以Ｏ．５％地卡因表面麻醉后，用皮试用注射器在胬肉　

癌抗生素，可抑制ＤＮＡ，ＲＮＡ的合成，甚至可使ＤＮＡ分解，　

体劲交界处向胬肉中下注入ｌｍｌ药液，涂四环素可的松眼膏　从而抑制血管新生及细胞分裂，注入胬肉后，可干扰胬肉代　

后包眼一天，注射后无特殊异常。用药２月后，患者自觉患眼　

谢，使血管闭塞，胬肉萎缩，所以现常用以局部注射治疗胬　

干涩不适，视力逐渐下降，查：视力右１．２，左０．５，左眼胬肉轻　

肉。由于局部注射显效快，痛苦小，无复发，不需特殊设备，操　

度充血，头劲部变薄，色白，无血管，角膜透明，房水清，散瞳　

作简便易行，且因用药量小无全身毒副作用，目前为眼科工　

后在裂隙灯下可见左晶体周边部有数个点状混浊，玻璃体透　

作者所广泛采用。而作为抗癌药，平阳霉素对正常组织也有　

明，眼底正常，右眼未见异常。随访两年，发现左晶体混浊加　

损害，注药后可向周围组织渗透，若渗入房水则可能通过影　

重，右眼正常。　

响晶体营养供应而致代谢障碍，出现晶体混浊。但晶体混浊　

是否与平阳霉素有直接关系，尚有待于进一步考证。　

收稿日期：２００８一ｏ４—２４　

编辑／樊延南