A先生有三年的网络管理经验,在未进入B公司做网络管理员之前,熟练的技术为前公司二年多的IT平台提供了有力的支持,从未出现任何大的问题。自进入B公司二个月以来困惑多多,每日疲于奔命似的为B公司的IT系统进行救火式的服务。
B公司的计算机网络环境非常不错:一台Netscreen 25防火墙做为边界防火墙,同时用于宽带路由拔号,防火墙四个网络接口一个用于ADSL线路连接,其实三个划分Vlan分别连接三个3COM 10/100兆交换机。整个公司约60台电脑,其中47台为笔记本电脑。服务器四台、网络打印机五台一个Vlan;笔记本为一个Vlan;台式机划分为一个Vlan。
使用Mcafee8.5i作为客户端防病毒软件,所有电脑的防病毒软件设置每日更新,每周杀病毒一次。按照正常的情况来看,B公司电脑数量不多,既有硬件防火墙客户端又有防病毒软件,做为网管应该非常轻松!可是,事与愿违,自A先生进入B公司以来,一个字,那就是 “累”!
这不,11月底B公司网络再次爆发大面积病毒发作,A先生三天没日没夜加班加点,安装操作系统7台、所有计算机断网杀毒后,终于再次把网络中病毒清除掉,让网络恢复正常。鼓足勇气写下了11月底病毒发作的报告书交给了老板,以下是本次事件的报告书:
网络病毒故障分析:
1、Mcafee防病毒软件不断跳出报警窗口,提供C:\autorun.inf、D:\autorun.inf、E:\autorun.inf等文件发现病毒。
2、Internet Explorer浏览器不断打开http://mysupport.mcafee.com窗口,造成计算机系统运行缓慢。无法使用。
3、CTRL+ALT+DEL看任务管理器是灰色,修改注册表后进入任务管理器多现数十个reg.exe进程。
4、C盘、D盘、E盘等根目录自动生成隐藏、只说属性的Autorun.inf文件以及SOS.exe文件。
通过分析,发现公司此次感染的病毒是一种恶意程序,安全厂商将这种病毒定位为:Trojan-Downloader.Win32.Delf.gen。病毒的变种发布速度很快,此变种能够针对大多数反病毒软件进行了相应的处理,以逃避被查杀。
该病毒程序通过在网页文件中插入恶意框架代码,通过多种系统或应用程序漏洞传播木马,还会释放利用系统自动运行功能的autorun.inf文件及相应文件。同时,多种病毒重复感染,能通过网络内部局域迅速传播。
病毒名称:Trojan-Downloader.Win32.Delf.gen
病毒类型:木马下载者
病毒行为:程序运行后,释放文件:%System%\Systom.exe %System%\auToRun.inf
并在磁盘各个分区释放文件sos.exe和auToRun.inf,此次病毒大面积感染事件当中,除了以上介绍的主病毒外,还有多种不同病毒一起发作,造成公司多台计算机无法正常使用。