電腦感染病毒是難免的事情，可是在病毒發(fā)作并影響工作之前，能夠及時(shí)發(fā)現(xiàn)并采取必要的措施加以防范，才是運(yùn)維人員應(yīng)該做的工作。近期，筆者就遇到一個(gè)終端電腦感染了病毒，在還沒(méi)有影響工作的情況下，利用網(wǎng)絡(luò)管理軟件檢測(cè)到病毒，并及時(shí)進(jìn)行了處理。

故障現(xiàn)象

為了不進(jìn)機(jī)房，又能在自己使用的電腦上觀察局域網(wǎng)流量情況，我在局域網(wǎng)匯聚交換機(jī)上和接入交換機(jī)上配置了端口鏡像，即RSPAN，具體為：

匯聚交換機(jī)配置Remote-Span Vlan：

圖1 終端探測(cè)外網(wǎng)

終端電腦上安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)交流版軟件，本來(lái)學(xué)習(xí)軟件使用，結(jié)果有一天進(jìn)行網(wǎng)絡(luò)巡查時(shí)無(wú)意發(fā)現(xiàn)了一個(gè)現(xiàn)象：在利用軟件查看端口使用情況時(shí)，發(fā)現(xiàn)445端口有些異常，其中一臺(tái)終端還顯示了進(jìn)程。通過(guò)終端過(guò)濾，可以清楚地看到，這臺(tái)終端運(yùn)行了mssecsvc.exe,向局域網(wǎng)外部多個(gè)地址頻繁發(fā)送數(shù)據(jù)包，目的端口都是445端口，特征是探測(cè)外網(wǎng)終端的445端口。

由于我單位局域網(wǎng)和互聯(lián)網(wǎng)物理隔離，因此自然收不到返回?cái)?shù)據(jù)包（如圖1）。

故障分析

檢查這臺(tái)終端，在任務(wù)欄上右鍵單擊選“啟動(dòng)任務(wù)管理器”，在“進(jìn)程”選項(xiàng)卡中看到有mssecsvc.exe *32進(jìn)程在運(yùn)行（如圖2）；在 C:windows目 錄 中查看，捕獲到病毒樣本文件三 個(gè)， 即：mssecsvc.exe、qeriuwjhrf、tasksche.exe，其 中 tasksche.exe和qeriuwjhrf文件大小為3432KB，mssecsvc.exe大小為 3636KB（如圖 3）。

進(jìn)入DOS界面后，輸入命 令：netstat -an命 令查看網(wǎng)絡(luò)連接，會(huì)發(fā)現(xiàn)該終端會(huì)不停地對(duì)外發(fā)送SYN_SENT包（如圖4）。結(jié)合上面用網(wǎng)絡(luò)分析工具看到的現(xiàn)象，綜合以上可以判斷，這臺(tái)終端感染了“WannaCrypt”病毒。

故障解決

1.通過(guò)任務(wù)管理器，在任務(wù)欄上右鍵單擊選擇“啟動(dòng)任務(wù)管理器”，從進(jìn)程中選中mssecsvc.exe *32進(jìn)程，右鍵單擊選擇“結(jié)束進(jìn)程樹(shù)”將病毒程序結(jié)束，可是不一會(huì)兒，進(jìn)程中又出現(xiàn)該進(jìn)程了，于是再次快速操作，結(jié)束該進(jìn)程。

圖2 終端進(jìn)程列表

圖3 病毒樣本列表

圖4 對(duì)外發(fā)送數(shù)據(jù)包

圖5 問(wèn)題解決

2.殺掉進(jìn)程后，通過(guò)快速切換，進(jìn)入C:windows目錄中，刪除上面三個(gè)病毒樣 本 文 件：mssecsvc.exe、qeriuwjhrf、tasksche.exe，并重新啟動(dòng)。

3.到官網(wǎng)上下載補(bǔ)丁程序 MS17010_WIN7_64bit，通過(guò)光盤擺渡到局域網(wǎng)終端內(nèi)安裝，補(bǔ)丁包內(nèi)有兩個(gè)補(bǔ)丁，依次安裝并按照提示重啟電腦，直到完成。

4.進(jìn)行安全加固，包括：關(guān)閉445端口、135端口、139端口、查看本地連接屬性，將“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”前面的勾選去掉和啟動(dòng)防火墻等。

通過(guò)以上措施，再次打開(kāi)DOS界面，輸入命令：netstat-an，發(fā)現(xiàn)終端沒(méi)有發(fā)大量SYN_SENT包，進(jìn)程中沒(méi)有mssecsvc.exe *32進(jìn)程，C:windows目錄中刪除了上面的三個(gè)病毒樣本文件，進(jìn)網(wǎng)絡(luò)分析平臺(tái)，該終端不再向外網(wǎng)終端的445端口發(fā)數(shù)據(jù)包了（如圖5）。問(wèn)題得到圓滿解決。

經(jīng)驗(yàn)總結(jié)

終端感染病毒，在病毒發(fā)作并影響工作前，一般都將自己隱藏起來(lái)，不易被人察覺(jué)，使用人員容易忽視，造成終端帶病工作。利用網(wǎng)絡(luò)分析軟件，定期進(jìn)行網(wǎng)絡(luò)巡查，及時(shí)發(fā)現(xiàn)局域網(wǎng)內(nèi)的異常流量，加上終端安裝防病毒軟件，定期升級(jí)病毒庫(kù)，及時(shí)打補(bǔ)丁，兩者配合，多管齊下，可以將病毒的危害減少到最低程度。