Window应急响应(二):蠕虫病毒
蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),一般经过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制本身,并自动执行它自身的程序。html
常见的蠕虫病毒:熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。web
0x01 应急场景
某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动链接,内网环境,没法连通外网,无图脑补。windows
0x02 事件分析
在出口防火墙看到的服务器内网IP,首先将中病毒的主机从内网断开,而后登陆该服务器,打开D盾_web查杀查看端口链接状况,能够发现本地向外网IP发起大量的主动链接:服务器
经过端口异常,跟踪进程ID,能够找到该异常由svchost.exe windows服务主进程引发,svchost.exe向大量远程IP的445端口发送请求:微信
这里咱们推测能够系统进程被病毒感染,使用卡巴斯基病毒查杀工具,对全盘文件进行查杀,发现c:\windows\system32\qntofmhz.dll异常:网络
使用多引擎在线病毒扫描(http://www.virscan.org/) 对该文件进行扫描:工具
确认服务器感染conficker蠕虫病毒,下载conficker蠕虫专杀工具对服务器进行清查,成功清楚病毒。spa
大体的处理流程以下:3d
一、发现异常:出口防火墙、本地端口链接状况,主动向外网发起大量链接
二、病毒查杀:卡巴斯基全盘扫描,发现异常文件
三、确认病毒:使用多引擎在线病毒对该文件扫描,确认服务器感染conficker蠕虫病毒。
四、病毒处理:使用conficker蠕虫专杀工具对服务器进行清查,成功清除病毒。
0x04 预防处理措施
在政府、医院内网,依然存在着一些很古老的感染性病毒,如何保护电脑不受病毒感染,总结了几种预防措施:htm
一、安装杀毒软件,按期全盘扫描
二、不使用来历不明的软件,不随意接入未经查杀的U盘
三、按期对windows系统漏洞进行修复,不给病毒可乘之机
四、作好重要文件的备份,备份,备份。
推荐阅读:
最后
欢迎关注我的微信公众号:Bypass--,每周原创一篇技术干货。