具體情況是這樣的:撥號上網後,FTP屢次報與服務器聯通失敗。經檢查,電腦中安裝的Norton個人版防病毒軟件以及Norton防火牆已被停用,嘗試啟用時報錯,不能正常啟用;打開任務管理器,發現非法進程5個,嘗試停止,報“拒絕訪問”;重啟到安全模式後再嘗試停止非法進程,報錯依舊,不能停止;於是進入計算機本地服務列表,發現2個不明自動啟動服務,嘗試停止,報“停止服務失敗”,無奈之下,修改該服務屬性為“禁用”,再次重啟到安全模式,不明服務終於沒有自動啟動。於是依據之前發現的非法進程名搜索系統盤C盤,發現其在Winnt目錄以及Winnt\system32\目錄,5自學網,手工刪除之。然後進入Winnt\system32\目錄,自學教程,發現大量的不明程序文件,其共同的特點為:文件屬性為隱藏,文件名為類似“diALoGUe”的隨機名稱,圖標為類似DOS程序圖標,查屬性無公司、版本等信息;由於我排毒時的習慣為首先設置【文件夾選項】使顯示所有文件和顯示所有受保護系統文件以便於查找文件,於是輕松發現此批大量不明可運行程序文件,抽查屬性確認後全體收入回收站。然後檢查注冊表,刪除run類不明自啟動鍵值。最後運行升級SP5,10余分鐘後所有補丁打完,重啟到正常模式下,win2000顯示正常,啟動Norton病毒、網絡防火牆成功,撥號上網FTP成功。
由以上經歷以及耳聞目染,風聞其勢,得出此類病毒感染以及發作之可能經過:用戶由於系統漏洞沒有及時安裝補丁,或者使用超級用戶權限帳號浏覽過惡意網站、運行了不明程序或文件,導致感染了病毒。此病毒常駐系統後自我復制並自動連接上線肉雞然後下載多種木馬種植於此新肉雞,並瘋狂使用此肉雞用弱口令試圖登陸其他網絡計算機,使感染更多機器;感染到其他機器後,瘋狂發送各類其他木馬、蠕蟲病毒以供受感染機器感染更多病毒,成就更多肉雞。此舉勢必占用大量網絡帶寬,與DDOS洪水攻擊有異曲同工之妙,將迫使網絡交換、路由設備不堪重負而癱瘓。此極有可能就是網絡變緩,但重啟交換機或路由器後網速又能得到改善的根本原因。並且由於病毒占用過多進程,導致系統資源滿負荷運行,中毒機器運行將明顯變緩。
此類病毒的危害在於:
1、借助內部網絡高速帶寬,感染大量網內其他存在漏洞的電腦,往往使病毒一中一大片。
2、占用大量網絡帶寬,使網速變緩。
3、有一定智能,變種極多,防毒軟件遵循總是遲於病毒出現時間有效的原則,可能受制於新變種病毒。
4、借助類似DDOS手段,讀取其他網絡計算機SAM帳號,強行並發式使用弱口令試圖登陸其他計算機,導致未感染病毒的其他計算機帳號登錄次數超過限制,帳號被鎖,影響正常使用。
總結手工殺毒步驟如下:
1、手工下載並收藏所有SP5單個小文件(就win2k而言,合共已有近100M)
2、斷開網絡
3、重啟到安全模式
4、檢查並清除【HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*】各不明啟動項鍵值
5、檢查並清除【HCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*】各不明啟動項鍵值
6、查不明服務並禁止之,如無,繼續步驟7;如有,禁止後,回到步驟3。
7、重點查【%SystemRoot%\system32\】目錄下所有隱藏exe、com,檢查其屬性,不明來歷者刪無赦(可先放回收站,重啟沒事後再清除)。
8、在更新最新病毒庫後不妨用殺毒軟件掃描系統盤所有文件一次。
9、確認SP4已安裝的基礎上打全所有SP5補丁
10、重啟到正常模式使用
注:由於判斷是否非法程序需要一定經驗,特提供一簡單辦法:點擊可疑程式查閱【屬性】,正常程式都在【版本】欄附帶有公司名、版本、版權等信息,就算是3721、敗毒等垃圾也帶有相應的信息,而蠕蟲、木馬等程式則極大可能無任何信息可供查閱、參考,據此可判斷大多數非法程序。
保持“沒毒”的幾個小技巧:
1、使用Proxy或者NAT隔離局域網與外網的無縫隙聯通
2、在局域網所有機器杜絕超級用戶密碼為空、帳號與密碼相同、密碼超級簡單等弱智行為。
3、權限分配嚴格遵循【夠用】原則,盡量防止不必要的超級用戶產生。
4、使用企業版殺毒軟件安裝防病毒中央服務器,設置好使及時自動檢查、下載更新病毒庫並自動向客戶端分發最新病毒庫。
5、借助SUS等同類windows補丁自動下載服務軟件,設置好使其能向所有客戶端自動分發並安裝最新補丁。
6、及時提醒同事注意上網安全,不去不必要的網站,不執行任何不明文件, 注意上網衛生。
7、有空多檢查一下任務管理器是否有不明進程,多登陸windows自動升級中心檢查最新補丁升級。