So lösen Sie den Windows-Wurmvirus

0x00 Vorwort

                 Es handelt sich um ein in sich geschlossenes Programm (oder eine Reihe von Programmen), das sich normalerweise über das Netzwerk verbreitet und sich auf jedem Computer repliziert Computer und führt automatisch sein eigenes Programm aus.

Häufige Würmer: Panda Burning Incense Virus, Shock Wave/Shock Wave Virus, Conficker Virus usw.

0x01 Notfallszenario

Eines Morgens stellte der Administrator an der Egress-Firewall fest, dass der interne Netzwerkserver weiterhin aktive Verbindungen zu ausländischen IPs initiierte. Die interne Netzwerkumgebung konnte keine Verbindung zum externen Netzwerk herstellen und es gab keine Möglichkeit dazu Finde es heraus.分0x02 Ereignisanalyse

Die interne Netzwerk-IP des Servers wird an der Export-Firewall angezeigt. Brechen Sie zunächst den Host des chinesischen Virus aus dem inneren Netzwerk ab, melden Sie sich dann beim Server an und öffnen Sie Dunb, um die Tötung zu initiieren große Anzahl aktiver Verbindungen zu externen IP-Adressen:

Anhand von Portausnahmen und Verfolgung von Prozess-IDs können Sie feststellen, dass die Ausnahme durch den Hauptprozess des Windows-Dienstes svchost.exe verursacht wird, der Anfragen an Port 445 sendet eine große Anzahl von Remote-IPs:

Hier spekulieren wir, dass der Systemprozess möglicherweise mit Viren infiziert ist. Wir verwenden das Virenscan-Tool von Kaspersky, um alle Dateien zu scannen und zu töten und stellen fest, dass c:windowssystem32qntofmhz.dll abnormal ist:

Verwenden Sie den Multi-Engine-Online-Virenscan (http://www.virscan.org/) Scannen Sie die Datei:

Bestätigen Sie, dass der Server mit dem Concker-Wurm-Virus infiziert ist, und laden Sie das Tool zum Töten des Concker-Wurms herunter Überprüfen Sie den Server und entfernen Sie den Virus erfolgreich.

1、发现异常：出口防火墙、本地端口连接情况，主动向外网发起大量连接
2、病毒查杀：卡巴斯基全盘扫描，发现异常文件
3、确认病毒：使用多引擎在线病毒对该文件扫描，确认服务器感染conficker蠕虫病毒。
4、病毒处理：使用conficker蠕虫专杀工具对服务器进行清查，成功清除病毒。

Es gibt immer noch einige sehr alte infektiöse Viren in Intranets von Behörden und Krankenhäusern. Hier sind mehrere vorbeugende Maßnahmen zusammengefasst:

1、安装杀毒软件，定期全盘扫描
2、不使用来历不明的软件，不随意接入未经查杀的U盘
3、定期对windows系统漏洞进行修复，不给病毒可乘之机
4、做好重要文件的备份，备份，备份。

Das obige ist der detaillierte Inhalt vonSo lösen Sie den Windows-Wurmvirus. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!