|
| 熊猫烧香病毒及变种的处理和防范心得 |
| 来源:网络 时间:2007-1-25 |
|
以前一直觉得自己做的服务器安全性还是过得去的,这几年一直在做无盘网吧系统的服务器,基本上也没出过什么安全问题,以为只要服务器不连外网,内网不要有水平特别高的高手去攻击就不会有太大的问题。最近我做的服务器有一台中了病毒,我还以为是网管处理不当造成的,直到后来有一两家也中了病毒才引起我的注意。中的都是熊猫烧香及其变种,于是在处理这些中毒的服务器时才去网上收集一些资料并且研究了一下中毒的途径,并且针对这些情况找到了一些相应的预防再中毒和提高安全性的措施。
我做的网吧无盘服务器,一般是用WIN2000 SP4,也有用WIN2003的,虽然只是打了几个高危补丁,没有全面的打完所有补丁,主要是从性能方面考虑,怕打全补丁性能会有影响,不过一直以来都没出过问题。这些服务器都不需要上网,因此服务器不设网关,并且网吧一般都有路由,因此一般外网也连接不上。唯一能连接到这些服务器的就只有网吧内的工作站和其他有盘机如计费服务器等。虽然以前也一直有通过局域网传播的蠕虫病毒,不过一直以来都没出过问题。直到最近,有一个网吧服务器中了熊猫烧香病毒,当时为了赶时间,所以就没详细分析,只是把C盘以外的所有可执行文件删除,然后格C盘重装系统。以为是网吧自己处理不当中毒的。但后来又有别的网吧也中了这个熊猫烧香病毒或它的变种,于是才引起注意,并且去网上搜索有关这个病毒的详细资料,并找到专杀工具来清除。并且对病毒的传播途径进行分析后,做出了一些相应的防范措施,暂时来说做足了这些措施之后,应该不会再感染了。虽然说以后难保还会出什么新的变种或新的病毒,不能说就绝对安全了,但安全性还是有一定程度的提高的。
分析那几个中毒了的服务器,有一个共同的特点,就是我在做服务器的时候,为了方便密码就只设置为“1”,后来做好之后也有叫网吧修改密码,不过他们都太懒没有照做,而其中还有一个网吧因为平时服务器不需要太多的操作,所以没有接键盘,因此密码为空以方便直接用鼠标登录。而熊猫烧香这个病毒的特点就是如果局域网有机子中毒,会用一些简单的密码试探局域网内的机子,如果密码太简单,就会这样被病毒探测到并进而感染。所以密码简单就是这些服务器中毒的一个主要原因。
另外就是SERVER服务,原来这个服务我一直没关掉,因为有时服务器上偶尔也需要设置共享文件夹,这也是一个问题,现在不少蠕虫病毒都是通过这个服务传播的。
而且,病毒通过局域网感染其他机子的时候,是会通过共享把病毒拷到系统目录,并且把病毒和AUTORUN.INF拷到被感染的机子上的每个分区的根目录,这样,中毒的机子一旦双击某个分区,病毒就开始激活。
还有这个病毒最恶毒的一点就是会自动搜索并删除中毒机子上的*.GHO文件,所以当用户发现中了病毒要找原来的克隆备份来恢复的时候才发现原来备份的GHO也不见了。
这个病毒的变种比较多,并且现在有时甚至都分不清到底是熊猫烧香还是VIKING新变种,处理起来当然要看具体的情况而定。一般来说先禁掉SERVER服务然后重启或者直接停止SERVER服务,以防再次从局域网中毒。然后用瑞星或江民的专杀(江民VIKING专杀要在线更新到最新,一些新变种才能查杀)试试看能否杀掉。如果不行,试试如果能打开任务管理器的话,把可疑的进程结束掉,如果有的话。再在文件夹选项的查看里面,把“隐藏受保护的文件和文件夹”前面的勾去掉,再选上“显示所有文件和文件夹”,然后把所有分区根目录中的可疑可执行文件和AUTORUN.INF删除,并且尽可能把C盘以外的其他盘上所有可执行文件删掉。如果由于病毒的修改不能显示隐藏文件,试试用搜索的方式搜索所有分区上的AUTORUN.INF和C盘以外的各分区的可执行文件并彻底删除。如果可疑可执行文件删不掉,试试启动到安全模式或者用光盘启动后(如果分区是NTFS的,还要加上DOS下读写NTFS分区的NTFSDOS工具)删除这些可疑文件和INF。然后再格C盘重装系统。记得重装的时候密码要设置复杂一点,并且装好后第一时间把SERVER服务关掉。还有就是打开其他分区的时候要特别小心,尽量用右键->打开的方式打开其他盘,不要双击打开,以防隐藏在其他分区上未被清除的病毒再次激活。
处理完之后,接下来最好再用专杀工具彻底查杀一次。然后接下来就是为新装的(或经过彻底清除病毒的)系统做好一些防范措施了。大概要做的防范措施如下:
一,如果密码太简单,记得换个复杂一点的密码。这一点不管是对于防范病毒还是防范入侵都有意义,并且其实早就应该这么做的。不要贪方便用那种弱口令或者空口令。
二,禁用SERVER服务,这样做以后感染蠕虫病毒的可能性就低了好多。坏处是服务器上就不能设置共享文件夹了,如果服务器确实需要开共享文件夹的,SERVER服务就不能禁,不过也要把默认共享都禁掉。或者如果只是偶尔要开一下共享,那么平时把SERVER服务禁掉,要用共享的时候再临时开一下SERVER服务,用完共享后及时再把这个服务关掉,以期把风险降到最小。
三,禁用自动播放,这个无聊的功能也助长了病毒的传播,禁用了自动播放,至少就算再由局域网再感染了病毒,病毒也不会激活或者不会再扩散。方法是在组策略管理器中,计算机配置-管理模板-系统里面,把“关闭自动播放”设置为已启用,并选“所有驱动器”,这样就禁用了所有驱动器上的自动播放。这样就算某个盘的根目录有病毒的可执行文件和AUTORUN.INF,双击也不会运行病毒。当然了,最好以后在打开各个盘符的时候用右键-打开,虽然麻烦点,不过也更安全些。
四,如果要为系统做克隆备份,最好在克隆备份时或备份后,把GHO文件的扩展名改为其他扩展名,这样虽然以后恢复会麻烦点,不能浏览GHO文件,要手工输入备份的克隆文件的全名,但基本上就不用怕备份文件被病毒删除。
五,按上面说的,把“隐藏受保护的文件和文件夹”关掉,选择“显示所有文件”,这样如果中毒的话可以及早发现。
六,平时多留意系统的进程和SYSTEM32、SYSTEM32\DRIVERS这些文件夹,如果发现有可疑的进程或可疑的程序,要及时查杀和处理,建议装个360安全卫士(http://www.360safe.com),能帮你下载微软的更新补丁,还能查杀可疑的进程和程序,并对系统敏感部分进行有效的保护,而相对来说占用的资源不会象杀毒软件那么大,比较适合于对性能要求比较高并且不上网的服务器,同时它也能对进程和服务以及启动项能有效地监视和处理。
吃一堑长一智,前事不忘后事之师,经过这样处理之后,系统的安全性有了进一步的提高,虽然不是说就从此万事无忧了,不过暂时来说对最近的这些流行蠕虫来说至少还是能有效的防范的了。
本文主要是说防范方面的内容,至于熊猫烧香、维金病毒的详细情况,以及更详细的处理过程和专杀工具的下载,大家可以在百度搜索一下,可以找到不少相关资料。
|
|
|
|
|
