worm_downadad病毒查杀.docx

worm_downad.ad病毒查杀王建西 2011.04.051：发现病毒：从3.29号起，windows2003系统的服务器上趋势科技放病毒时常报出病毒，并且扫描结果是已删除，当时察看其日志文件以及感染病毒的文件夹，确认病毒已经删除，但是在晚上的服务器巡检中，登陆到服务器又看到趋势的查杀警报，并且已经明显的由原来的一台服务器主机扩散到三台服务器主机。服务器病毒查杀日志如下：2：分析病毒：通过网络查阅资料，发现网络中对这个病毒求救声一片，帖子中有很多解决办法，尝试了几次，都没有任何效果。经过一天的斗争，对这个病毒算是有了比较深入的了解这个病毒是局域网的蠕虫病毒，就是寄生在局域网的某台电脑上，然后通过局域网攻击其他电脑，试其他电脑的密码它的精明之处在于注册成迷惑人的系统服务，自动从远端下载更新，利用系统漏洞进行攻击使用可移动存储设备的Autoplay传播，还能使用字典攻击破解复杂度不高的密码获得权限。其特征为主动进攻，暴力破解计算机登录密码后潜伏，待发作时向端口发送大量垃圾包堵塞网络该病毒透过微软安全漏洞展开攻击，一旦计算机被感染，首先会关闭安全防护或杀毒软件，进而攻击445端口，造成网络严重堵塞，数据服务中断所以关键就是要找到病毒源，然后再用专杀工具干掉。3：杀毒过程：一：根据杀毒软件报毒的文件夹信息，查看文件是否存在。进行手动清理。（这一招用完没有效果）二：WORM_DOWNAD有一系列的变种病毒，并且会伪装成系统文件，所以删除病毒文件的做法是危险的，不可取的。只能再想其他办法三：利用专杀工具查杀，由于是蠕虫病毒，为了杀毒后不再感染其他主机，所以断网查杀很有必要。四：分别在已感染的主机查杀之后，对各个服务器全面升级，并且打上补丁MS08-067五：这一步完成之后，服务器依然报毒。六：打开趋势杀毒的web页面，查看日志文件，发现了问题所在。如下图：根据日志文件，找到了病毒源。这就是这个病毒的最精明之处，病毒在某台主机爆发之后，杀毒工具并查不到这台主机，而是在同一局域网内全面爆发，杀毒工具虽然能及时的防止病毒的破坏，但并不能从根源部分杀掉，所以杀毒工具会一直报警而束手无策。Ok。现在找到了病毒源，在这台主机上运行专杀工具，修补所有漏洞，打上MS08-067补丁。升级杀毒软件做一次全面的扫描。这一步做完之后，杀毒成功。回顾整个解决过程有喜悦也有辛酸，从发现病毒到清除病毒用了四整天时间，其中的煎熬非常难忘。简单总结：综合WORM_DOWNAD.AD病毒特征和在清除病毒过程中的心得，简单总结如下：一：加强系统补丁的安装管理众所周之，大多病毒或黑客均通过系统漏洞进行攻击和破坏二：提高安全防范意识。用到的工具：专杀工具/tool/IceSword1.18.rar微软08-067补丁：/technet/security/bulletin/ms08-067.mspx