Window應急響應（二）：蠕蟲病毒

0x00 前言

​ 蠕蟲病毒是一種十分古老的計算機病毒，它是一種自包含的程序（或是一套程序），一般經過網絡途徑傳播，每入侵到一臺新的計算機，它就在這臺計算機上覆制本身，並自動執行它自身的程序。

常見的蠕蟲病毒：熊貓燒香病毒 、衝擊波/震盪波病毒、conficker病毒等。

0x01 應急場景

​ 某天早上，管理員在出口防火牆發現內網服務器不斷向境外IP發起主動鏈接，內網環境，沒法連通外網，無圖腦補。

0x02 事件分析

在出口防火牆看到的服務器內網IP，首先將中病毒的主機從內網斷開，而後登陸該服務器，打開D盾_web查殺查看端口鏈接狀況，能夠發現本地向外網IP發起大量的主動鏈接：

 

經過端口異常，跟蹤進程ID，能夠找到該異常由svchost.exe windows服務主進程引發，svchost.exe向大量遠程IP的445端口發送請求：

這裏咱們推測能夠系統進程被病毒感染，使用卡巴斯基病毒查殺工具，對全盤文件進行查殺，發現c:\windows\system32\qntofmhz.dll異常：

使用多引擎在線病毒掃描（http://www.virscan.org/） 對該文件進行掃描:

確認服務器感染conficker蠕蟲病毒，下載conficker蠕蟲專殺工具對服務器進行清查，成功清楚病毒。

 

大體的處理流程以下:

一、發現異常：出口防火牆、本地端口鏈接狀況，主動向外網發起大量鏈接
二、病毒查殺：卡巴斯基全盤掃描，發現異常文件
三、確認病毒：使用多引擎在線病毒對該文件掃描，確認服務器感染conficker蠕蟲病毒。
四、病毒處理：使用conficker蠕蟲專殺工具對服務器進行清查，成功清除病毒。

0x04 預防處理措施

​ 在政府、醫院內網，依然存在着一些很古老的感染性病毒，如何保護電腦不受病毒感染，總結了幾種預防措施：

一、安裝殺毒軟件，按期全盤掃描
二、不使用來歷不明的軟件，不隨意接入未經查殺的U盤
三、按期對windows系統漏洞進行修復，不給病毒可乘之機
四、作好重要文件的備份，備份，備份。

推薦閱讀： 

Window應急響應（一）：FTP暴力破解

Window應急響應（二）：蠕蟲病毒

Window應急響應（三）：勒索病毒

Window應急響應（四）：挖礦病毒

Window應急響應（五）：ARP病毒

 

最後

歡迎關注我的微信公衆號：Bypass--，每週原創一篇技術乾貨。