一、 概述
该公司是一家在全球市场领先的产品领域拥有杰出产品系列的半导体厂商,在很多诸如移动通信、汽车电子和PC/AV 等领域获得了全球最高市场份额。
其北京分部内网划分为多个vlan,但网段之间的通讯并无加以限制,内外网物理隔绝,内网出口与国外总部内网直接连接通信。
二、 简单拓扑图
三、 客户现场情况分析
1. 报毒计算机较多,清理后不连接网络不再报毒,联网半小时左右即再次提示有病毒。网分析系统中心病毒日志,单台计算机每日报毒数最多达1000次,病毒名均为:trojan.dl.ms08-067.XXX;
2. 计划任务中每隔半小时左右出现一个新的计划任务,出现的时间与监控报毒的时间相当;
3. 查看报毒计算机,操作系统主要是windows xp和sever 2003,报毒文件为%windir%system32目录下的动态库文件,名字随机8位数,如xxxxxxxx.DLL;
4. 使用smsniff抓包工具分析,抓包半小时左右,发现局域网中有多个计算机发包并发送可疑文件;
5. 到发包的计算机上使用wsyscheck等常用工具,未发现明显的可疑进程、服务项和启动项;使用tcpview,对本机的联网情况进行分析如下图,发现可疑项,见红色和黄色的几行;
6. 使用procexp对pid为如图显示的796参数查看,文件为:C:WINDOWSsystem32fthtyza.dl,使用杀软对此文件扫描不报毒;
7. 手动删除此文件,提示无法删除,同时也无法剪切或改名;
8. 求助安全厂商时,发现瑞星官网、微软官网等都无法显示。
四、 针对问题所提出的解决方案
1. 提供针对此类病毒的处理方案:修复系统漏洞,暂时关闭共享、匿名访问、U盘使用,设置高强度密码等;
2. 对于部分单机使用conficker专杀处理,并及时安装杀毒软件;
3. 设置针对此类病毒的主防策略,控制对HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost等键值的修改;
4. 后续规划,设定共享访问权限,严格控制共享的访问,限制U盘,建议增加签名认证;
5. 彻底解决此病毒问题需要较长的周期,且后续的维护任务依然艰巨,需要持之以恒。
五、 最后达到的效果,是否解决用户问题
达到预期目标,解决的部分重要服务器的病毒问题,但局域网病毒问题很难彻底解决,网络覆盖面较大,病毒入口多,管理人员的技术能力有限等,只能通过后续的维护和培训不断完善。