由以上經(jīng)歷以及耳聞目染,風聞其勢,得出此類病毒感染以及發(fā)作之可能經(jīng)過:用戶由于系統(tǒng)漏洞沒有及時安裝補丁,或者使用超級用戶權(quán)限帳號瀏覽過惡意網(wǎng)站、運行了不明程序或文件,導致感染了病毒。此病毒常駐系統(tǒng)后自我復制并自動連接上線肉雞然后下載多種木馬種植于此新肉雞,并瘋狂使用此肉雞用弱口令試圖登陸其他網(wǎng)絡(luò)計算機,使感染更多機器;感染到其他機器后,瘋狂發(fā)送各類其他木馬、蠕蟲病毒以供受感染機器感染更多病毒,成就更多肉雞。此舉勢必占用大量網(wǎng)絡(luò)帶寬,與DDOS洪水攻擊有異曲同工之妙,將迫使網(wǎng)絡(luò)交換、路由設(shè)備不堪重負而癱瘓。此極有可能就是網(wǎng)絡(luò)變緩,但重啟交換機或路由器后網(wǎng)速又能得到改善的根本原因。并且由于病毒占用過多進程,導致系統(tǒng)資源滿負荷運行,中毒機器運行將明顯變緩。
此類病毒的危害在于:
1、借助內(nèi)部網(wǎng)絡(luò)高速帶寬,感染大量網(wǎng)內(nèi)其他存在漏洞的電腦,往往使病毒一中一大片。
2、占用大量網(wǎng)絡(luò)帶寬,使網(wǎng)速變緩。
3、有一定智能,變種極多,防毒軟件遵循總是遲于病毒出現(xiàn)時間有效的原則,可能受制于新變種病毒。
4、借助類似DDOS手段,讀取其他網(wǎng)絡(luò)計算機SAM帳號,強行并發(fā)式使用弱口令試圖登陸其他計算機,導致未感染病毒的其他計算機帳號登錄次數(shù)超過限制,帳號被鎖,影響正常使用。
總結(jié)手工殺毒步驟如下:
1、手工下載并收藏所有SP5單個小文件(就win2k而言,合共已有近100M)
2、斷開網(wǎng)絡(luò)
3、重啟到安全模式
4、檢查并清除【HLMSOFTWAREMicrosoftWindowsCurrentVersionRun*】各不明啟動項鍵值
5、檢查并清除【HCUSOFTWAREMicrosoftWindowsCurrentVersionRun*】各不明啟動項鍵值
6、查不明服務并禁止之,如無,繼續(xù)步驟7;如有,禁止后,回到步驟3。
7、重點查【%SystemRoot%system32】目錄下所有隱藏exe、com,檢查其屬性,不明來歷者刪無赦(可先放回收站,重啟沒事后再清除)。
8、在更新最新病毒庫后不妨用殺毒軟件掃描系統(tǒng)盤所有文件一次。
9、確認SP4已安裝的基礎(chǔ)上打全所有SP5補丁
10、重啟到正常模式使用
注:由于判斷是否非法程序需要一定經(jīng)驗,特提供一簡單辦法:點擊可疑程式查閱【屬性】,正常程式都在【版本】欄附帶有公司名、版本、版權(quán)等信息,就算是3721、敗毒等垃圾也帶有相應的信息,而蠕蟲、木馬等程式則極大可能無任何信息可供查閱、參考,據(jù)此可判斷大多數(shù)非法程序。
保持“沒毒”的幾個小技巧:
1、使用Proxy或者NAT隔離局域網(wǎng)與外網(wǎng)的無縫隙聯(lián)通
2、在局域網(wǎng)所有機器杜絕超級用戶密碼為空、帳號與密碼相同、密碼超級簡單等弱智行為。
3、權(quán)限分配嚴格遵循【夠用】原則,盡量防止不必要的超級用戶產(chǎn)生。
4、使用企業(yè)版殺毒軟件安裝防病毒中央服務器,設(shè)置好使及時自動檢查、下載更新病毒庫并自動向客戶端分發(fā)最新病毒庫。
5、借助SUS等同類windows補丁自動下載服務軟件,設(shè)置好使其能向所有客戶端自動分發(fā)并安裝最新補丁。
6、及時提醒同事注意上網(wǎng)安全,不去不必要的網(wǎng)站,不執(zhí)行任何不明文件, 注意上網(wǎng)衛(wèi)生。
7、有空多檢查一下任務管理器是否有不明進程,多登陸windows自動升級中心檢查最新補丁升級。