電腦感染病毒是難免的事情,可是在病毒發(fā)作并影響工作之前,能夠及時(shí)發(fā)現(xiàn)并采取必要的措施加以防范,才是運(yùn)維人員應(yīng)該做的工作。近期,筆者就遇到一個(gè)終端電腦感染了病毒,在還沒(méi)有影響工作的情況下,利用網(wǎng)絡(luò)管理軟件檢測(cè)到病毒,并及時(shí)進(jìn)行了處理。
為了不進(jìn)機(jī)房,又能在自己使用的電腦上觀察局域網(wǎng)流量情況,我在局域網(wǎng)匯聚交換機(jī)上和接入交換機(jī)上配置了端口鏡像,即RSPAN,具體為:
匯聚交換機(jī)配置Remote-Span Vlan:
圖1 終端探測(cè)外網(wǎng)
終端電腦上安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)交流版軟件,本來(lái)學(xué)習(xí)軟件使用,結(jié)果有一天進(jìn)行網(wǎng)絡(luò)巡查時(shí)無(wú)意發(fā)現(xiàn)了一個(gè)現(xiàn)象:在利用軟件查看端口使用情況時(shí),發(fā)現(xiàn)445端口有些異常,其中一臺(tái)終端還顯示了進(jìn)程。通過(guò)終端過(guò)濾,可以清楚地看到,這臺(tái)終端運(yùn)行了mssecsvc.exe,向局域網(wǎng)外部多個(gè)地址頻繁發(fā)送數(shù)據(jù)包,目的端口都是445端口,特征是探測(cè)外網(wǎng)終端的445端口。
由于我單位局域網(wǎng)和互聯(lián)網(wǎng)物理隔離,因此自然收不到返回?cái)?shù)據(jù)包(如圖1)。
檢查這臺(tái)終端,在任務(wù)欄上右鍵單擊選“啟動(dòng)任務(wù)管理器”,在“進(jìn)程”選項(xiàng)卡中看到有mssecsvc.exe *32進(jìn)程在運(yùn)行(如圖2);在 C:windows目 錄 中查看,捕獲到病毒樣本文件三 個(gè), 即:mssecsvc.exe、qeriuwjhrf、tasksche.exe,其 中 tasksche.exe和qeriuwjhrf文件大小為3432KB,mssecsvc.exe大小為 3636KB(如圖 3)。
進(jìn)入DOS界面后,輸入命 令:netstat -an命 令查看網(wǎng)絡(luò)連接,會(huì)發(fā)現(xiàn)該終端會(huì)不停地對(duì)外發(fā)送SYN_SENT包(如圖4)。結(jié)合上面用網(wǎng)絡(luò)分析工具看到的現(xiàn)象,綜合以上可以判斷,這臺(tái)終端感染了“WannaCrypt”病毒。
1.通過(guò)任務(wù)管理器,在任務(wù)欄上右鍵單擊選擇“啟動(dòng)任務(wù)管理器”,從進(jìn)程中選中mssecsvc.exe *32進(jìn)程,右鍵單擊選擇“結(jié)束進(jìn)程樹(shù)”將病毒程序結(jié)束,可是不一會(huì)兒,進(jìn)程中又出現(xiàn)該進(jìn)程了,于是再次快速操作,結(jié)束該進(jìn)程。
圖2 終端進(jìn)程列表
圖3 病毒樣本列表
圖4 對(duì)外發(fā)送數(shù)據(jù)包
圖5 問(wèn)題解決
2.殺掉進(jìn)程后,通過(guò)快速切換,進(jìn)入C:windows目錄中,刪除上面三個(gè)病毒樣 本 文 件:mssecsvc.exe、qeriuwjhrf、tasksche.exe,并重新啟動(dòng)。
3.到官網(wǎng)上下載補(bǔ)丁程序 MS17010_WIN7_64bit,通過(guò)光盤擺渡到局域網(wǎng)終端內(nèi)安裝,補(bǔ)丁包內(nèi)有兩個(gè)補(bǔ)丁,依次安裝并按照提示重啟電腦,直到完成。
4.進(jìn)行安全加固,包括:關(guān)閉445端口、135端口、139端口、查看本地連接屬性,將“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”前面的勾選去掉和啟動(dòng)防火墻等。
通過(guò)以上措施,再次打開(kāi)DOS界面,輸入命令:netstat-an,發(fā)現(xiàn)終端沒(méi)有發(fā)大量SYN_SENT包,進(jìn)程中沒(méi)有mssecsvc.exe *32進(jìn)程,C:windows目錄中刪除了上面的三個(gè)病毒樣本文件,進(jìn)網(wǎng)絡(luò)分析平臺(tái),該終端不再向外網(wǎng)終端的445端口發(fā)數(shù)據(jù)包了(如圖5)。問(wèn)題得到圓滿解決。
終端感染病毒,在病毒發(fā)作并影響工作前,一般都將自己隱藏起來(lái),不易被人察覺(jué),使用人員容易忽視,造成終端帶病工作。利用網(wǎng)絡(luò)分析軟件,定期進(jìn)行網(wǎng)絡(luò)巡查,及時(shí)發(fā)現(xiàn)局域網(wǎng)內(nèi)的異常流量,加上終端安裝防病毒軟件,定期升級(jí)病毒庫(kù),及時(shí)打補(bǔ)丁,兩者配合,多管齊下,可以將病毒的危害減少到最低程度。