最近跳槽換了家單位,300多台pc,2臺檔案共享伺服器server。pc的作業系統大部分是win7,少量是xp,server的作業系統均為win2008 server r2,在server上共享使用者為everyone,共享和安全許可權為完全控制。網路裝置張核心為華為s5348,但是未做任何配置,其他交換機使用的d-link 1024d或者1024t,清一色傻瓜式交換機。300多台電腦位於同乙個廣播域,ip位址範圍是192.168.1.0一直到192.168.6.0,但是子網掩碼是255.255.248.0。共享伺服器被大部分裝置使用,只要有一台電腦中了蠕蟲,伺服器肯定有蠕蟲。
雨雲蠕蟲病毒的分布情況如下:
1、10臺電腦左右執行著蠕蟲病毒,其表現為任務管理器中有wscript.exe,在桌面上有名為yuyun_ca的圖示,並且無法刪除。這10臺的危害性非常大,只要其中的任何一台訪問其他電腦上的共享資料夾或者被別人訪問,都會導致其他的電腦產生隱患檔案,如果條件具備,其他電腦也會執行蠕蟲病毒。
2、290臺pc和server具有蠕蟲執行隱患的檔案,表現為一定具有的三個檔案:隱藏檔案autorun.inf、非隱藏資料夾microsoft、非隱藏檔案thumb.db。這290臺pc本身不執行蠕蟲病毒,只是存在隱患。autorun.inf的檔案內容如下:
4、使用網上的雨雲專殺批處理命令,殺完後,一旦被執行著蠕蟲病毒的電腦訪問,又會產生隱患檔案。該方法只適用於單台電腦,不適合蠕蟲病毒氾濫的大中型區域網。雨雲專殺批處理命令如下:
*******************************批處理開始******************************
@echo off
echo 程式先中止wscript.exe
tskill wscript
echo 程式正在搜尋和刪除yuyun蠕蟲藏身的thumb.db和database.mdb檔案
del thumb.db /f /q /s /ah
del database.mdb /f /q /s /ah
echo 程式正在尋找和刪除yuyun蠕蟲生成的的快捷方式
for /r %%a in (*.lnk) do ( findstr /m /ilc:"wscript" "%%a" ) && del /q /f "%%a"
echo 程式正在尋找和刪除yuyun蠕蟲留下的隱藏autorun.inf檔案
for /r %%a in (autorun.inf) do ( findstr /m /ilc:"wscript" "%%a" ) && del /q /f /ah "%%a"
echo 程式正在尋找和刪除yuyun蠕蟲留下的rtf說明檔案
for /r %%a in (*.rtf) do ( findstr /m /ilc:"yuyun" "%%a" ) && del /q /f "%%a"
*******************************批處理結束******************************
5、10臺的蘋果電腦處於雙系統模式下,無法短時間內判斷是否執行著蠕蟲病毒。
綜合分析該病毒的作用原理和我單位的實際情況,採用了如下的措施循序漸進的解決:
1、採購收費的網路版防毒軟體,在所有的pc機上安裝,安裝完成後手動掃瞄一遍。此一步是確保自身不在執行蠕蟲病毒和刪除隱患檔案;
2、在所有的pc機上,開啟實時防護功能。這一步是防止把具有隱患的檔案拷貝到本地;
3、在所有的server上,安裝防毒軟體,注意不要開啟實時防護功能,除非已經確保區域網內的pc機均安裝了防毒軟體。之所以這樣做由於在執行著病毒的客戶端通過共享或者對映網路驅動器來訪問伺服器時,這些客戶端會不停的往伺服器上放隱患檔案,導致伺服器上的防毒軟體忙於防毒,而導致宕機,因為伺服器刪除後,客戶端又會上傳。
4、當大部分客戶端安裝了防毒軟體,而隱患檔案時不時的會出現但是沒有以前頻繁,這說明極個別電腦沒有安裝防毒軟體。此時借助於windows server 2008伺服器作業系統自帶的共享檔案審核功能,以便於定位是哪台電腦還有雨雲病毒,操作如下:
首先依次單擊windows server 2008伺服器系統桌面上的「開始」、「設定」、「控制面板」選項,開啟對應系統的控制面板視窗,用滑鼠雙擊其中的「管理工具」圖示,進入管理工具列表介面;
其次用滑鼠雙擊該介面中的「本地安全策略」圖示,彈出對應系統的本地安全策略編輯介面,將滑鼠定位於該介面左側位置處的「本地策略」分支專案上,再從目標分支下面依次選中「審核策略」、「審核物件訪問」選項,之後用滑鼠右鍵單擊該選項,並執行快捷選單中的「屬性」命令,彈出如圖1所示的審核物件訪問屬性設定對話方塊;
將該對話方塊中的「成功」復選項選中,同時單擊「確定」按鈕,這樣一來針對共享資料夾訪問操作的審核功能就被啟用成功了,日後我們通過網路或在本地修改、刪除windows server 2008伺服器系統中的共享內容時,對應系統的事件檢視器程式就會將這些操作記錄自動記憶儲存下來。
5、經過上一步的查漏補缺,觀察一天伺服器的動向,沒有隱患檔案產生,開啟實時防護功能。
6、定義pc和server的定時掃瞄功能,多一重安全保障。
7、進入登錄檔 搜尋「111111」找到 兩個 ,刪除並返回桌面重新整理。這一步是清除桌面上前期不能刪除的圖示yuyun_cantix。
刪除圖示yuyun_cantix:
設定共享檔案審核功能:
雲雨專殺批處理命令:
區域網雨雲蠕蟲病毒的處理
最近跳槽換了家單位,300多台pc,2臺檔案共享伺服器server。pc的作業系統大部分是win7,少量是xp,server的作業系統均為win2008 server r2,在server上共享使用者為everyone,共享和安全許可權為完全控制。網路裝置張核心為華為s5348,但是未做任何配置,其...
區域網雨雲蠕蟲病毒怎麼解決?
echo off echo 程式先中止wscript.exe tskill wscript echo 程式正在搜尋和刪除yuyun蠕蟲藏身的thumb.db和database.mdb檔案 del thumb.db f q s ah del database.mdb f q s ah echo 程式正...
安全 公司區域網病毒處理
1.公司裡面一些虛擬機器 保留著四五年前的快照,為了能夠回滾回去測試當時的補丁.2.有些同事總是記不住回滾很早之前的快照要處理一下永恆之藍補丁.造成機器總是中病毒.3.最開始支援中wannacry的病毒 狂發包,然後占用lsass程序.4.最近的病毒改良了 真不知道是誰帶進來的 wannamine ...