某某政府病毒问题分析报告Word下载.doc
- 文档编号:13790475
- 上传时间:2022-10-13
- 格式:DOC
- 页数:7
- 大小:85.50KB
某某政府病毒问题分析报告Word下载.doc
《某某政府病毒问题分析报告Word下载.doc》由会员分享,可在线阅读,更多相关《某某政府病毒问题分析报告Word下载.doc(7页珍藏版)》请在冰豆网上搜索。
566
蠕虫
Macro.Word.Ralex.a
442
感染型病毒
Trojan.Win32.Generic.11F84516
325
木马
Trojan.Script.VBS.Agent.ap
141
Trojan.Win32.Generic.11F844CD
91
Win32.Sola.a
48
Trojan.Win32.Generic.11EE3ED6
6
Trojan.Win32.Generic.1247624D
5
Trojan.Win32.Generic.122AE86F
3
Worm.Win32.Ms08067.d
2
客户端名称
客户端版本
染毒数量
客户端IP
SVCTAG-CQ2BG2X
22.01.47.10
948
10.134.1.249
SERVER2
98
10.134.1.3
顾克
90
10.134.1.139
文印中心
58
10.134.1.39
食堂
44
10.134.1.233
HP20074590116
34
10.134.1.61
WWW
33
10.134.1.17
PC2010102711LHK
30
10.134.1.135
方中华
29
10.134.1.105
WP
27
10.134.109.21
提取了6月1日到6月16日半个月病毒日志,累计病毒感染1618次,感染的病毒主要是蠕虫病毒、感染型病毒(宏病毒)和木马病毒。
病毒感染主机主要是10.134.1.249(服务器)、10.134.1.3(OA服务器)。
对10.134.1.249服务器做分析发现该主机主要感染了worm.win32.ms08-67.ac和木马病毒
10.134.1.3主要感染了宏病毒,下面将针对此两种病毒逐个分析
2、Worm.Win32.MS08-067病毒介绍
Worm.Win32.MS08-067是一个利用微软系统最新漏洞进行传播的蠕虫病毒,目前瑞星已经监测到此病毒升级到Worm.Win32.MS08-067.e变种。
它比之前的变种具有更大的攻击力,在四月初可能会出现更大规模的爆发。
2.1病毒的传播方式
1.利用微软MS08-067漏洞传播
2.通过创建Autorun.inf文件U盘传播
3.通过局域网传播,自带一个弱密码表,猜解网络中计算机的登录密码传播
2.2病毒使用的技术和相关功能
病毒线程中的主要流程及功能:
首先病毒会判断系统版本是否是Win2K&
&
WinXP以上系统,如果是病毒才继续执行。
并且给病毒所在进程添加SeDebugPrivilege权限,对本机计算机名称进行CRC32计算,通过得到的CRC32值创建病毒互斥量,判断自己是否是rundll32.exe程序启动的。
如果不是就判断是否能找到"
svchost.exe-knetsvcs"
或者explorer.exe进程,将自己代码放到那两个中的一个里面去,然后修改注册表不显示隐藏文件,针对services.exe、"
、"
svchost.exe-kNetworkService"
、进程进行DNS查询以及TCP传输过程拦截,针对杀毒软件关键字进行过滤,其中包含rising、avast、nod32、McAfee等等。
使当前中毒计算机无法访问安全厂商的网站。
停止wscsvc、wuauserv、BITS、WinDefend、WindowsDefender、ERSvc、WerSvc服务,并且改为手动。
枚举网络计算机的用户名和自带的密码表,利用IPC$ADMIN$共享复制病毒到远程计算机然后通过Rundll32远程启动,枚举驱动器创建自身到RECYCLER、System32文件夹下面,尝试访问http:
//www.getmyip.org等网站得到中毒计算机的IP。
通过访问、等等网站得到当前月数。
再通过时间经过内置算法计算病毒的升级链接,方便病毒作者更新。
2.3病毒的预防
1.及时更新微软系统系统补丁
2.及时升级全网杀毒软件
3.严格控制U盘等移动介质
4.发现上述关键系统服务被非人为修改为手动时,及时修改成原系统状态,配合杀毒软件查毒
5.局域网中计算机统一规定不能使用弱密码或者空密码
3、10.134.1.249中毒原因分析
上节内容已经提到MS08-67病毒主要通过三种方式传播
10.134.1.239是台服务器,通过漏洞扫描功能确认服务器已经通过微软病毒修补了MS08-67漏洞,而且服务器不可能违规外接U盘等移动介质。
所以前两种传播可能被排除,和服务器管理人员确认后确认服务器虽然设置了管理密码为“admin”为弱密码属于被此类病毒猜解范围,直接导致此服务器无法对MS08-67病毒免疫会被反复感染。
由于整个政府系统网络庞大,仍然残留有MS08-67蠕虫病毒的宿主主机,这些宿主主机定时(一般每小时一次)发起随机病毒攻击,一旦通过猜解密码成功或系统漏洞突破易感染主机就会将病毒传播到易感染主机并获得此主机控制权并植入多种木马病毒,这也是蠕虫病毒和木马病毒往往在同一台感染主机上出现的原因。
感染主机本地杀毒软件不及时扫描病毒就可能由感染主机转化为病毒宿主,并出现攻击其它主机的行为。
即使感染主机及时清理病毒,但由于病毒传播的根本原因未杜绝所以会出现反复感染情况。
4、10.134.1.3中毒原因分析
10.134.1.3为**政府的OA服务器,每天有大量的OFFCIE文档通过OA的邮件和网页进行数据交互。
对日志进行分析后确认,感染型病毒(宏病毒)主要是感染了OA服务器的邮箱目录和网页目录,所以可以确认OA服务器的病毒来源为客户端所发的邮件附件和上传的网页文档附件。
其它同样感染宏病毒的客户端(如文印中心10.134.1.39)经常使用OA,其感染病毒目录为IE临时目录。
通过病毒分析我们得出结论,此类客户端感染病毒的原因是因为其它客户端把感染病毒的文档上传到OA服务器,其访问OA服务器取相应文档就会被报毒。
这也是宏病毒感染主机除OA服务器以外较分散的原因,凡是通过OA服务器下载文档附件的客户端都有可能报毒。
5、总结
蠕虫病毒(MS08-67病毒)、宏病毒(Macro病毒)、木马病毒(Trojan病毒)都是具有明显通过网络传播的特性,而现有的网络版杀毒软件由于微软系统漏洞或弱口令等局限无法完全遏制病毒的传播只能在病毒感染后被动的查杀就导致了病毒不断反复。
所以建议通过以下方式切断病毒的传播方式:
1、客户端和OA服务器之间数据传输要经过防毒墙双向过滤,确保客户端上传附件没有病毒和客户端下载OA服务器附件的安全;
2、内网网关要双向过滤蠕虫病毒,避免内网感染蠕虫客户端攻击检察系统,同时防止其它单位网络蠕虫病毒宿主对本单位攻击渗入,避免病毒危害扩散;
3、内网终端在修补重要漏洞(尤其是MS08-67漏洞)同时要加强密码管理,不允许使用空密码或弱密码;
4、定时进行病毒全网查杀,控制病毒传播方式后对全网终端进行病毒扫描彻底清除此类病毒。
7
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 某某 政府 病毒 问题 分析 报告