局域网雨云蠕虫病毒的处理

最近跳槽换了家单位，300多台pc，2台文件共享服务器Server。PC的操作系统大部分是win7，少量是xp，Server的操作系统均为win2008 server R2，在Server上共享用户为everyone，共享和安全权限为完全控制。网络设备张核心为华为S5348，但是未做任何配置，其他交换机使用的D-LINK 1024D或者1024T，清一色傻瓜式交换机。300多台电脑位于同一个广播域，ip地址范围是192.168.1.0一直到192.168.6.0，但是子网掩码是255.255.248.0。共享服务器被大部分设备使用，只要有一台电脑中了蠕虫，服务器肯定有蠕虫。

雨云蠕虫病毒的分布情况如下：

1、10台电脑左右运行着蠕虫病毒，其表现为任务管理器中有wscript.exe，在桌面上有名为yuyun_ca的图标，并且无法删除。这10台的危害性非常大，只要其中的任何一台访问其他电脑上的共享文件夹或者被别人访问，都会导致其他的电脑产生隐患文件，如果条件具备，其他电脑也会运行蠕虫病毒。

2、290台pc和server具有蠕虫运行隐患的文件，表现为一定具有的三个文件：隐藏文件autorun.inf、非隐藏文件夹microsoft、非隐藏文件Thumb.db。这290台pc本身不运行蠕虫病毒，只是存在隐患。autorun.inf的文件内容如下：

3、电脑安装的杀毒软件有以下几种：大部分免费的企业版360安全卫士和360杀毒，一部分个人版360安全卫士和360杀毒，一小部分免费的金山卫士和百度杀毒，极个别的免费版瑞星、破解版卡巴斯基。所有的电脑在使用上述杀毒软件进行手动扫描隐患文件的情况下，均无任何告警和隔离、删除动作。

4、使用网上的雨云专杀批处理命令，杀完后，一旦被运行着蠕虫病毒的电脑访问，又会产生隐患文件。该方法只适用于单台电脑，不适合蠕虫病毒泛滥的大中型局域网。雨云专杀批处理命令如下：

*******************************批处理开始******************************

@echo off
Echo 程序先中止wscript.exe
tskill wscript
ECHO 程序正在搜索和删除Yuyun蠕虫藏身的thumb.db和database.mdb文件
del thumb.db /f /q /s /ah
del database.mdb /f /q /s /ah
echo 程序正在寻找和删除Yuyun蠕虫生成的的快捷方式
for /r %%a in (*.lnk) do ( findstr /m /ilc:"wscript" "%%a" ) && del /q /f "%%a"
echo 程序正在寻找和删除Yuyun蠕虫留下的隐藏autorun.inf文件
for /r %%a in (autorun.inf) do ( findstr /m /ilc:"wscript" "%%a" ) && del /q /f /ah "%%a"
echo 程序正在寻找和删除Yuyun蠕虫留下的RTF说明文件
for /r %%a in (*.rtf) do ( findstr /m /ilc:"yuyun" "%%a" ) && del /q /f "%%a"

*******************************批处理结束******************************

5、10台的苹果电脑处于双系统模式下，无法短时间内判断是否运行着蠕虫病毒。

综合分析该病毒的作用原理和我单位的实际情况，采用了如下的措施循序渐进的解决：

1、采购收费的网络版杀毒软件，在所有的pc机上安装，安装完成后手动扫描一遍。此一步是确保自身不在运行蠕虫病毒和删除隐患文件；

2、在所有的pc机上，开启实时防护功能。这一步是防止把具有隐患的文件拷贝到本地；

3、在所有的server上，安装杀毒软件，注意不要开启实时防护功能，除非已经确保局域网内的pc机均安装了杀毒软件。之所以这样做由于在运行着病毒的客户端通过共享或者映射网络驱动器来访问服务器时，这些客户端会不停的往服务器上放隐患文件，导致服务器上的杀毒软件忙于杀毒，而导致死机，因为服务器删除后，客户端又会上传。

4、当大部分客户端安装了杀毒软件，而隐患文件时不时的会出现但是没有以前频繁，这说明极个别电脑没有安装杀毒软件。此时借助于Windows Server 2008服务器操作系统自带的共享文件审核功能，以便于定位是哪台电脑还有雨云病毒，操作如下：

首先依次单击Windows Server 2008服务器系统桌面上的“开始”、“设置”、“控制面板”选项，打开对应系统的控制面板窗口，用鼠标双击其中的“管理工具”图标，进入管理工具列表界面；

其次用鼠标双击该界面中的“本地安全策略”图标，弹出对应系统的本地安全策略编辑界面，将鼠标定位于该界面左侧位置处的“本地策略”分支项目上，再从目标分支下面依次选中“审核策略”、“审核对象访问”选项，之后用鼠标右键单击该选项，并执行快捷菜单中的“属性”命令，弹出如图1所示的审核对象访问属性设置对话框；

将该对话框中的“成功”复选项选中，同时单击“确定”按钮，这样一来针对共享文件夹访问操作的审核功能就被启用成功了，日后我们通过网络或在本地修改、删除Windows Server 2008服务器系统中的共享内容时，对应系统的事件查看器程序就会将这些操作记录自动记忆保存下来。

5、经过上一步的查漏补缺，观察一天服务器的动向，没有隐患文件产生，开启实时防护功能。

6、定义pc和server的定时扫描功能，多一重安全保障。

7、进入注册表搜寻“111111”找到两个{1111111-2222-3333-4444-555555555555} ，删除并返回桌面刷新。这一步是清除桌面上前期不能删除的图标yuyun_cantix。

本文参考如下文档：

删除图标yuyun_cantix：http://wangtao0122.blog.163.com/blog/static/18779322015140250288/

设置共享文件审核功能：http://jingyan.baidu.com/article/63acb44afb222561fcc17e03.html

云雨专杀批处理命令：http://blog.sina.com.cn/s/blog_7222a4dc0101r2mu.html

局域网雨云蠕虫病毒的处理相关推荐

局域网雨云蠕虫病毒怎么解决？
如何彻底清除局域网雨云蠕虫病毒,使用这个批处理文件只能清除单台设备的,但设备在局域网中一直在和服务器通讯,跪求大佬
政企机构用户注意蠕虫病毒Prometei正在针对局域网横向渗透传播
近日,火绒安全实验室监测到蠕虫病毒"Prometei"正在全网传播.该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Window.Linux.macOS等 ...
蠕虫病毒利用永恒之蓝漏洞传播单位局域网受威胁最大
一. 概述日前,火绒安全团队通过"火绒威胁情报系统"发现蠕虫病毒"Worm/Sharp"正在全网传播,其中在政府.企业.学校.医院等单位的局域网具有非常强的传 ...
“艾妮”（ANI）蠕虫病毒
病毒名:艾妮(别名,麦英.ANI蠕虫) 英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky 技术分析: 1.释放病毒文件到如 ...
局域网arp欺骗病毒查找预防方法(1)
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于***(Trojan)病毒,不具备主动传播的特性,不会自我复制.但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的 ...
杀毒奇招：用安全网关消灭蠕虫病毒（转）
自1988年出现第一个蠕虫病毒以来,计算机蠕虫病毒以其快速.多样化的传播方式不断给网络世界带来灾害.特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界. 不同于一般的病毒,蠕虫 ...
教你怎样用安全网关消灭蠕虫病毒（转）
自1988年出现第一个蠕虫病毒以来,计算机蠕虫病毒以其快速.多样化的传播方式不断给网络世界带来灾害.特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界. 不同于一般的病毒,蠕虫 ...
如何利用交换机处理蠕虫病毒的入侵？（转）
互联网蠕虫的泛滥在最近几年造成了巨大的损失,让很多服务运营商和企业网络的管理员甚为头疼的不仅是其不断的发展变种,而且发作造成的损害也越来越严重.尽管蠕虫本身通常并不破坏任何的数据,但它所带来的直接和间 ...
快速有效地封杀—巧利用Iris来查找蠕虫病毒(转)
快速有效地封杀-巧利用Iris来查找蠕虫病毒(转) 近些年,蠕虫病毒的每一次大规模爆发,都给网络世界带来了深重的灾害.蠕虫病毒有着很强的破坏性,一个局域网中只要有一台电脑感染了蠕虫病毒,就有可能引起网 ...
Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程
Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程 ...

局域网雨云蠕虫病毒的处理

局域网雨云蠕虫病毒的处理相关推荐

最新文章

热门文章