B公司的计算机网络环境非常不错:一台Netscreen 25防火墙做为边界防火墙,同时用于宽带路由拔号,防火墙四个网络接口一个用于ADSL线路连接,其实三个划分Vlan分别连接三个3COM 10/100兆交换机。整个公司约60台电脑,其中47台为笔记本电脑。服务器四台、网络打印机五台一个Vlan;笔记本为一个Vlan;台式机划分为一个Vlan。
使用Mcafee8.5i作为客户端防病毒软件,所有电脑的防病毒软件设置每日更新,每周杀病毒一次。按照正常的情况来看,B公司电脑数量不多,既有硬件防火墙客户端又有防病毒软件,做为网管应该非常轻松!可是,事与愿违,自A先生进入B公司以来,一个字,那就是 “累”!
这不,11月底B公司网络再次爆发大面积病毒发作,A先生三天没日没夜加班加点,安装操作系统7台、所有计算机断网杀毒后,终于再次把网络中病毒清除掉,让网络恢复正常。鼓足勇气写下了11月底病毒发作的报告书交给了老板,以下是本次事件的报告书
网络病毒故障分析:
1、Mcafee防病毒软件不断跳出报警窗口,提供C:“autorun.inf、D:“autorun.inf、E:“autorun.inf等文件发现病毒。
2、Internet Explorer浏览器不断打开http://mysupport.mcafee.com窗口,造成计算机系统运行缓慢。无法使用。
3、CTRL+ALT+DEL看任务管理器是灰色,修改注册表后进入任务管理器多现数十个reg.exe进程。
4、C盘、D盘、E盘等根目录自动生成隐藏、只说属性的Autorun.inf文件以及SOS.exe文件。
通过分析,发现公司此次感染的病毒是一种恶意程序,安全厂商将这种病毒定位为:Trojan-Downloader.Win32.Delf.gen。病毒的变种发布速度很快,此变种能够针对大多数反病毒软件进行了相应的处理,以逃避被查杀。
该病毒程序通过在网页文件中插入恶意框架代码,通过多种系统或应用程序漏洞传播木马,还会释放利用系统自动运行功能的autorun.inf文件及相应文件。多种病毒重复感染,能通过网络内部局域迅速传播。
病毒名称:Trojan-Downloader.Win32.Delf.gen
病毒类型:木马下载者
病毒行为:程序运行后,释放文件:%System%“Systom.exe %System%“auToRun.inf
并在磁盘各个分区释放文件sos.exe和auToRun.inf,此次病毒大面积感染事件当中,除了以上介绍的主病毒外,还有多种不同病毒一起发作,造成公司多台计算机无法正常使用。
读书人IT频道reader8.com/exam/jisuanji/