|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
A先生有三年的网络管理经验,在未进入B公司做网络管理员之前,熟练的技术为前公司二年多的IT平台提供了有力的支持,从未出现任何大的问题。自进入B公司二个月以来困惑多多,每日疲于奔命似的为B公司的IT系统进行救火式的服务。B公司的计算机网络环境非常不错:一台Netscreen 25防火墙做为边界防火墙,同时用于宽带路由拔号,防火墙四个网络接口一个用于ADSL线路连接,其实三个划分Vlan分别连接三个3COM 10/100兆交换机。整个公司约60台电脑,其中47台为笔记本电脑。服务器四台、网络打印机五台一个Vlan;笔记本为一个Vlan;台式机划分为一个Vlan。
0 h( \' |( s" ~: F8 b: o- C8 B使用Mcafee8.5i作为客户端防病毒软件,所有电脑的防病毒软件设置每日更新,每周杀病毒一次。按照正常的情况来看,B公司电脑数量不多,既有硬件防火墙客户端又有防病毒软件,做为网管应该非常轻松!可是,事与愿违,自A先生进入B公司以来,一个字,那就是 “累”!- |, Z" k4 N$ v; p; y8 \+ ?
这不,11月底B公司网络再次爆发大面积病毒发作,A先生三天没日没夜加班加点,安装操作系统7台、所有计算机断网杀毒后,终于再次把网络中病毒清除掉,让网络恢复正常。鼓足勇气写下了11月底病毒发作的报告书交给了老板,以下是本次事件的报告书:. n0 a, ]: _% {1 ?$ Y" h* L$ u
网络病毒故障分析:' a/ S1 D- J: L/ i. H+ e% V
1、Mcafee防病毒软件不断跳出报警窗口,提供C:\autorun.inf、D:\autorun.inf、E:\autorun.inf等文件发现病毒。% }/ t! y& m( R& x
2、Internet Explorer浏览器不断打开http://mysupport.mcafee.com窗口,造成计算机系统运行缓慢。无法使用。 s8 W4 e; o" g( C
3、CTRL+ALT+DEL看任务管理器是灰色,修改注册表后进入任务管理器多现数十个reg.exe进程。2 x, Z8 D: T" L; n# Q' Z F
4、C盘、D盘、E盘等根目录自动生成隐藏、只说属性的Autorun.inf文件以及SOS.exe文件。
, d! T) H$ @) j" r- c N通过分析,发现公司此次感染的病毒是一种恶意程序,安全厂商将这种病毒定位为:Trojan-Downloader.Win32.Delf.gen。病毒的变种发布速度很快,此变种能够针对大多数反病毒软件进行了相应的处理,以逃避被查杀。 E6 ?; T! G1 s/ r
该病毒程序通过在网页文件中插入恶意框架代码,通过多种系统或应用程序漏洞传播木马,还会释放利用系统自动运行功能的autorun.inf文件及相应文件。同时,多种病毒重复感染,能通过网络内部局域迅速传播。. M9 F( g% {7 C4 R, K5 U/ N7 T: |" q
病毒名称:Trojan-Downloader.Win32.Delf.gen5 y" ]9 Z' o3 B1 l# c
病毒类型:木马下载者6 \: F6 J! I5 n0 F
病毒行为:程序运行后,释放文件:%System%\Systom.exe %System%\auToRun.inf) B# c) j( x3 S0 V
并在磁盘各个分区释放文件sos.exe和auToRun.inf,此次病毒大面积感染事件当中,除了以上介绍的主病毒外,还有多种不同病毒一起发作,造成公司多台计算机无法正常使用。病毒故障处理过程: 11月22日~11月25日,公司感染病毒的计算机有PC09、PC03、PC28、PC30、PC12、PC11、PC46台,首先在PC09的计算机保护模式、纯DOS系统下查杀病毒后,仍旧不能恢复正常使用,通过注册表修改计算机策略,发现受感染的计算机后台运行有数十个非正常的Reg.exe的进程,无法结束进程。常规通过查杀病毒解决问题的方法不能能实现。0 u3 @! B) @) ^2 ], h& h
备份该PC重要数据,重新安装计算机编号为PC10的操作系统,打开D盘安装驱动时再次感染。尝试安装防病毒软件并升级病毒库,在安装过程中无法正常安装。替换其它防病毒软件提供多个文件感染病毒文件不能清除。
9 U ?6 x' T, q' s只能再次重装系统彻底,并在第一次安装的经验上,在安装系统之前在纯DOS下删除后%System%\Systom.exe、%System%\auToRun.inf以及D盘、E盘等相关的文件。格式化系统盘(处理的7台PC分别是C盘)后,通过:开始-->运行,输入cmd进行DOS命令窗口,使用DIR/A D:/E:/F:等检查是否发现有相关的病毒程序。如有,再次使用命令删除相关文件和文件目录。0 ?& K y& Y& b
重复以上系统安装步骤,将感染严重的计算机全部重装系统。并对公司内所有计算机在安全模式下查杀病毒。所有步骤完成后,公司整个网络系统正常。网络崩溃原因分析建议:公司某些计算机用户没有养成良好的计算机使用习惯,随便在公司计算机打开不明的网页,随手插入私人U盘等等。个别计算机感染了病毒后进入公司网络使用,病毒通过网络传播,造成公司大面积的病毒再次感染。已发现有不良使用计算机用户:
& t" D3 d. [4 K& | : X U* s/ s, R9 s( q5 c9 T
PC03笔记本:多次找开不明网页,有时明知道网页有病毒或恶意程序仍旧打开,同时要求计算机能够有此防御能力。统计该用户11月已记录重装操作系统次数为三次,分别是:11月2日、11月28日。未登记一次!
L7 T( s7 \7 p! FPC09笔记本:11月重装系统三次,系统安装时间为11月8日、13日、28日。其中二次因为打开不明网站感染病毒、一次因为系统文件丢失无法启动。该电脑使用人多个U盘带有病毒,喜欢用U盘在电脑复制程序、游戏等。
% S8 {( I6 B% t; ~' aPC46台式机:11月重装系统二次,喜欢下载各种软件,常使用QQ、MSN等软件,喜欢在不明网站下载各种小游戏(包含.exe文件)等等。; e5 F- H8 F4 H6 _- ?) x7 @1 y5 x
建议:
0 ?- \1 o/ }+ c0 I! @+ w1、 笔记本组内的部分电脑使用者经常上一些不良网站,导致感染多种木马及病毒。建议公司领导能够给予相关责任人一定的行政警告,加强企业网络安全管理。& D4 I8 w& m o7 \0 j
2、 鉴于此次病毒故障处理,对于一些U盘、MP3等个人移动存储设备,都应先查杀病毒后,才能插入公司计算机使用.文章小结: B公司的计算机网络系统硬件措施应该说是非常优秀的:边界既部署有硬件防火墙,内部帐号安全使用域服务器,桌面端也有防病毒软件。但为什么计算机病毒故障、安全问题不断呢?这就需要我们每一个都深思的问题:, ]8 _8 p8 n4 W2 k$ ?; h$ N
俗话说“天时,地利,人和”,B公司最大的问题就是在于计算机使用人,造成系统屡屡出现病毒故障,再强的硬件设施,技术更强的网络管理员,如果没有加强计算机使用人的使用规划,在一切面前,那也是脆弱的 |
手机扫码浏览
|
窥视卡
雷达卡
发表于 2008-7-18 10:10:29
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
