计算机病毒解决方案.docx
《计算机病毒解决方案.docx》由会员分享,可在线阅读,更多相关《计算机病毒解决方案.docx(11页珍藏版)》请在冰点文库上搜索。
计算机病毒解决方案
**移动
病毒服务器病毒报告及
安全加固实施方案
文档信息
文档名称
文档管理编号
保密级别
文档版本编号
制作人
制作日期
2009-8-18
复审人
复审日期
扩散范围
文档说明
版权说明
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属**信息科技有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经**信息科技有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
版本变更记录
时间
版本
说明
修改人
一、概述
**科技人员在2009年9月9日登录病毒服务器后,发现病毒服务器有以下现象,现对现象进行统计如下:
一.1仍受感染的主机
计算机
用户
IP地址
物理位置
感染病毒
GMCC-6F5393D296
Administrator
10.250.70.15
信用管理室
Adware.Borlan
JYGMCC-659DC61E
Administrator
10.250.70.14
市场部
SecurityRisk.eGatherer
JYGUOFENG2
Administrator
10.250.67.65
**县公司VLAN52网段
Adware.Navihelper
JYHLGMCC1
Administrator
10.250.94.70
**县公司
Spyware.Shopnav
JYJDPUB08121
gmcc
10.250.96.120
Adware.Websearch
JYXUXUFENG1
Administrator
10.250.68.116
Adware.Borlan
JYYANGJINCHUN1
Administrator
10.250.70.19
Adware.CPush
JYXWYYT01
gmcc
10.250.99.104
**营业厅
Adware.Borlan
JYHUANGKEWEN1
huangkewen
10.250.68.161
市场部
Adware.Websearch
一.2未清除病毒表
计算机
风险
文件/条目
用户
IP地址
GMCC-6F5393D296
Adware.Borlan
D:
/TDDOWNLOAD/SkynetPFW_Trial_Release_v3.0_Build0220_huajun.EXE
Administrator
10.250.70.15
JYGMCC-659DC61E
SecurityRisk.eGatherer
D:
/sys/工具软件/Drivers_IBMTools/IBMTOOLS/APPS/ACCESS/TEMP/ACPCON~1.DLL
Administrator
10.250.70.14
JYGUOFENG2
Adware.Navihelper
c:
/windows/system32/navihelper.dll
Administrator
10.250.67.65
JYHLFANGYANJA1
Adware.Borlan
C:
/WINDOWS/system32/stdup.dll
gmcc
10.250.99.75
JYHLGMCC1
Spyware.Shopnav
c:
/windows/system32/iebho.dll
Administrator
10.250.94.70
JYHLPUB2007041
Adware.Borlan
C:
/DocumentsandSettings/gmcc/桌面/游戏/吞食鱼简体中文版1.0.exe
gmcc
10.250.99.104
JYHUANGKEWEN1
Adware.Websearch
D:
/ProgramFiles/TC7/TOTALCMD/Tools/Upiea.exe
huangkewen
10.250.68.161
JYJDPUB08121
Adware.Websearch
D:
/websoft/upiea.exe
gmcc
10.250.96.120
JYXUXUFENG1
Adware.Borlan
E:
/-------Install--------/setupol_3210_0177.exe
Administrator
10.250.68.116
JYYANGJINCHUN1
Adware.CPush
c:
/programfiles/commonfiles/pushware/cpush.dll
Administrator
10.250.70.19
一.3病毒分类表
风险
风险计数
风险类型
Adware.Borlan
4
Adware
SecurityRisk.eGatherer
1
SecurityRisk
Adware.Navihelper
1
Adware
Spyware.Shopnav
1
Spyware
Adware.Websearch
2
Adware
Adware.CPush
1
Adware
二、风险分析
从风险分类表中,可看出.,病毒分了三大类,如下图:
网络中存在的漏洞分析如下:
●ADWARE风险
:
数量8
●SECURITYRISK风险
:
数量1
●SPYWARE风险
:
数量1
二.1风险说明
二.1.1ADWARE风险
这是一个广告软件。
功能是用户在使用google等搜索引擎时,会在桌面右下角弹出与搜索的内容相关的广告。
该广告使用的文件名类似系统文件名,迷惑用户;该广告会注册SPI服务,并不提供卸载,所以,当该文件出现故障时,可能会导致机器无法上网.
1.风险危害
●一般带有恶意性质。
非法占用电脑资源,影响电脑速度及弹出广告病毒运行后会释放文件到系统文件夹,
●生成注册表项,在后台弹广告,影响用户正常上网。
2.影响系统:
Win9x/ME,Win2000/NT,WinXP,Win2003,Winvista
3.解决方案:
adware专杀解决手段:
●打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程
●进入c:
\windows,删除其中的ravmone.exe
●进入c:
\windows,运行regedit.exe,在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是c:
\windows\ravmone.exe的,把他删除掉
●完成后,adware.win32病毒就被清除了。
●对adware专杀,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,adware.win32专杀,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了
4.如无法完全上述的操作,可下载一种第三方软件,如:
ewido.地址如下:
注册码:
6617-EBE8-D1FD-FEA2,下载完成后将文件释放到C:
\即可,到C:
\securitysuite下双击"试用前必须双击此文件破解,每次升级后再双击一次.reg"点确定,导入注册信息。
然后双击SecuritySuite.exe这个文件即可启动Ewido(当然你也可以右键发送一个快捷方式到桌面上去,以方便下次使用。
进入主程序界面后,点“更新”按钮,点“开始更新按钮”,耐心的等待更新完成100%。
然后就可以点“扫描器”进行扫描了。
剩下来的事情由Ewido帮你来完成
二.1.2SECURITYRISK风险
安全评估工具,
介绍
SecurityRisk.eGatherer是一个检测的安全漏洞确定的接入支持和/或访问IBM的应用软件。
Thisisnotavirusalert,butasecurityvulnerabilityhasbeendetectedinoneorbothoftheseapplications.这不是一个病毒警报,但安全漏洞已被发现在一个或两个应用。
影响系统:
Windows98,Windows95,WindowsXP,WindowsMe,WindowsNT,Windows2000,Windows2003,Windowsvista,Windows2008,
1.解决方案:
●删除此软件或者关闭此软件的服务
二.1.3SPYWARE风险
1.概述
具有双重功能的软件通常被称作Spyware(间谍软件)。
它驻留在计算机的硬盘中,通常具备实用的、具吸引力的基本功能。
这一核心功能与间谍作用无关。
它通常以免费软件的形式提供,有可能是一个实用程序、MP3播放器或某种游戏。
问题在于,除了主要功能外,Spyware还具有一个次要的、较为隐秘的组件。
它收集有关用户操作习惯的信息并将这些信息通过互联网发送给软件的发布者。
由于这一过程是在您不知情的情况下进行,因此具有此类双重功能的软件通常被称作Spyware(间谍软件)。
。
2.影响系统
●微软的Windows2000ServicePack4
●WindowsXPServicePack2andWindowsXPServicePack3的WindowsXPServicePack2和WindowsXPServicePack3
3.解决方案
监测并删除‘间谍软件’需要附件的软件。
一个免费的,非广告资助的名为OptOut的产品,来自Gibson研究公司,可以识别若干被认为会是‘间谍软件’的程序,包括了Radiate的Aureate。
OptOut扫描用户的硬盘,允许用户立即删除可疑的‘间谍软件’或是监视它的继续行为。
另一个免费且非广告资助的产品,ZoneAlarm,监视所有的因特网通信量,允许用户停止任何XX的传递数据过程,隔离用户的计算机不受诸如来自‘间谍软件’的广告传递。
注意:
在免费软件仍在安装着的同时删除‘间谍软件’程序可能禁止该免费应用软件的使用。
依然会存在的问题:
你还会使用免费应用程序吗?
这交易。
一方面,你正在敞开自己成为绝对的最终广告目标。
另外一方面,有的人正努力编写你在免费使用着的高质量程序的代码,只需要你接受安装广告商的‘间谍软件’作为他们的努力工作的补偿。
间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。
用户的隐私数据和重要信息会被那些后门程序捕获,甚至这些“后门程序”还能使黑客远程操纵用户的电脑。
防治间谍软件,应注意以下方面:
第一,不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
第二,有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。
第三,采用安全性比较好的网络浏览器,并注意弥补系统漏洞
三、重启测试
●重启服务器:
为保证测试结果的正确性,在对系统正式测试开始前,由揭阳移动分公司信息技术中心相关人员、**公司人员一起将该机器系统进行重启、功能测试,保证在测试前,所有系统均正常运行。
●系统重启时间
系统重启并测试应用功能总体上需要30分钟。
●系统重启影响
系统重新启动后,将对业务产生影响.
●异常处理
重新启动该服务器后,如果出现服务器无法启动或异常情况出现,可通知监控室,并按<揭阳ITC安全预警流程处理>,!
1.在进行机房巡检时发现服务器异常,通过此方式发现故障后,直接上报后,定位故障后进行下一步调查。
以业务报障的方式上报到网络监控组,启动安全事件应急流程,逐项进行排查,最终定位到故障源,进行下一步故障排错。
2.重大故障、严重故障通报机制
◆故障发生后,立即电话上报揭阳分公司BOSS网应急小组网络安全监控组;
◆如属紧急突发安全事故,同时电话上报揭阳分公司监控组、信管室网络组及网络与信息安全办公室;
◆以电话/短信/邮件方式通知受影响用户;
◆每隔10小时以电话/短信方式向揭阳分公司BOSS网应急小组网络安全监控组通报故障处理进展;
◆故障排除后,电话上报揭阳分公司BOSS网应急小组网络安全监控组并以电话/短信/邮件方式通知受影响用户;
四、风险回避
为防止安装补丁对系统的影响,在进行加固前建议进行系统的备份,使用SYMANTEC的GHOST系统进行系统盘全盘备份,备份到非系统盘,以便系统发生意外,方便的使用GHOST进行恢复。
●备份时间:
系统使用GHOST软件进行备份总体上需要40分钟。
备份大致过程如下:
●选择类型
●选择分区
●保存文件
五、加固时间
根据上述加固过程,本次实施需要的时间如下表所示:
加固内容
所需时间
备注
总计
注:
具体的实施时间将由揭阳移动确认。
六、后续跟进
请PC代维根据本文的内容进行可行性分析,在确保可行的情况下,对高危漏洞的主机进行一次全面的检查,并修补漏洞。
最后,请PC代维将处理的结果传达回安全代维,安全代维再根据处理结果进行评审或评估,如PC代维无法完成,或无法修补漏洞,**科技有限公司将指定工程师到现场进行协助修补,并将结果传达回ITC网络负责人。
七、待定资源
七.1文件确认
在进行安全加固的时候,由于本次测试要安装软件,并重启计算机,为保证风险回避,使用GHOST的方法,将原系统进行备份,要有地方存放GHOST的镜像文件,因此需要提供这方面的情况,以便确认文件存放位置
七.2硬盘资源
如果系统的空间不够,那么需要有新的空间来存放GHOST的文件,将由揭阳移动提供这方面的资源支持。
**科技有限公司负责人签字:
**移动公司负责人签字:
日期:
年月日
升级会员 