最近接二連三 多個廠區都中了worm_downad的病毒
因為這隻病毒 也讓我整整忙了一個星期
試了各種方式 找尋了很多方法 配合officescan的解毒 大致上做法如下:
請記住 一定要更新微軟的hotfix...
此病毒是朝攻擊ad方式...一定要加強觀察
============================================================
一、OfficeScan的環境,在來源或受感染的主機對於Worm_Downad.AD的處理方式:
1.更新MS08-067:
http://www.microsoft.com/taiwan/technet/security/Bulletin/MS08-067.mspx
如果不更新,此病毒將可使用RPC漏洞,在不需驗證的情況下,直接執行惡意行為指令。如:放置病毒、修改帳密、增加工作排程…等。
2.更新掃描引擎 8.913.1005:(不需安裝RCM,可同時支援OSCE 8.0與7.x版)
適用條件:環境內有Windows 2000 Server / Professional或仍有無法刪除、無法隔離的狀況。
32位元掃描引擎:
http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-8.913-1005.ZIP
64位元掃描引擎:
http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-AMD64-8.913-1005.ZIP
64位元掃描引擎:(OSCE 7.x才有支援)
http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-IA64-8.913-1005.ZIP
手動更新步驟,請參考以下連結:(請務必小規模測試後,才使用OSCE Server進行部署)
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-122633&id=EN-122633
3.經由OfficeScan Server佈署DCE 6.0.1172:
a.請下載DCEv6.0.1172zip檔
http://trend-ftp.myftp.org/corp/dce_v6.0_hotfix_1172.zip
b.將DCEv6.0.1172.zip解壓縮後的tsc.exe覆製到..\PCCSRV\Admin目錄下,覆蓋掉已存在的檔案。
c.稍候數分鐘,於OfficeScan伺服器會套用到此更新
d.欲驗證伺服器是否更新成功,則可確認下列檔案的日期是否已變更為現在的日期即可
..\PCCSRV\Download\Engine\TSC.zip
e.管理主控台→更新→用戶端部署→手動部署→通知,將DCE部署至用戶端
f. 用戶端電腦→用戶端管理→更新檢視,確認用戶端的DCE版本是否更新
4.更新最新的防毒元件:掃描引擎(8.913.1006以上).、病毒碼(5.881.00以上)、一般防火牆病毒碼(10273以上)、DCT(1008以上)。
5.從OfficeScan Server對所有用戶端下達立即掃描,清除病毒後,務必請您重新開機。若不重新開機將持續對其它主機的預設共用(admin$)放置病毒。
6.掃描結果將會有兩種:
a.%system%下的病毒檔案無法刪除、無法隔離:若此主機重新開機後還有此訊息,請收集病毒樣本及SIC Log。
b.%system%下的病毒檔案持續出現刪除、隔離的訊息:這代表此主機受其它主機攻擊,但可被OSCE即時掃描偵測,只要將感染來源處理完畢,即不會再發生。
以上的步驟理應可以解決這個病毒問題,但處理過程中可能還會有步驟6的兩種狀況,只要狀況a的主機都處理過,那麼狀況b的主機就不會再跳出警訊。
二、可從防火牆紀錄檔或病毒紀錄檔查看感染來源:
1.防火牆紀錄檔(需開啟OfficeScan防火牆服務,並開啟IDS):
從紀錄檔中可看到攻擊類型為MS08-067,以接收方向查看,來源IP為攻擊主機;以傳送方向查看,目的IP為攻擊主機。
2.病毒紀錄檔(在沒有防火牆紀錄檔的備用方案):
紀錄檔中,不同主機出現同一個感染來源,則感染來源可能就是攻擊主機;一個感染來源只出現在一台主機上,感染來源就是攻擊主機的可能性較小。
在區分攻擊主機與受感染主機後,有兩種方案擇一先進行防護(防止擴大),再進行處理(縮小範圍):
方案一:從攻擊主機著手
直接封鎖網路,如拔掉這些主機的網路線或從防火牆封鎖該主機雙向TCP 139及445。
封鎖後,受感染主機不會再跳出警訊。(若該主機正提供服務,無法斷線,請跳過此步驟。)
方案二:從受感染主機著手
1.從防火牆封鎖接收TCP 139及445。
2.關閉預設共用admin$。
3.暫時不要使用隨身碟或網路磁碟機。
在限制影響範圍後,除了可重新執行上述「對於Worm_Downad.AD的處理方式」的步驟。
也可以直接在這些主機執行單機清除工具:
單機版清除工具會執行下列動作:
1. 刪除病毒所產生的dll檔(需重新啟動電腦)
2. 停止病毒處理程序
3. 刪除殘留的病毒機碼
4. 確認電腦是否有安裝微軟修正程式MS08-067
5. 關閉磁碟機自動播放功能
6. 刪除autorun.inf與recycle資料夾
7. 停止與排程工作有關的服務
手動下載位置:
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip
在確定沒有病毒後,再恢復網路通訊。
三、驗證該主機病毒是否已清除:
1. 更新微軟MS08-067,單機驗證工具:
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/va_test.zip
若電腦未安裝更新程式,會不斷IE Temp目錄下感染WORM_DOWNAD
2. %system%下不會再出現Worm_Downad的病毒?
3. 本機及網域的密碼已具有複雜度?
若不修改相關的管理者密碼,病毒會使用密碼字典攻擊法登入目標電腦的admin$\system32資料夾並產生WORM_DOWNAD
4. 將工作排程內at##(##代表數字)項目刪除後,不會再出現?
(目前OPR 5.769.00偵測病毒所產生的排程工作為TROJ_DOWNADJOB)
5. 本機(網路)磁碟機根目錄、共享資料夾是否有autorun.inf?
(病毒碼5.745.00以上版本可偵測Autorun.inf檔案為TROJ_DOWNAD.AD)
若在其他電腦上使用受感染的USB裝置,發現病毒的路徑為該磁碟機根目錄;
或將電腦map到有毒的網路磁碟機,發現病毒的路徑為網路磁碟機與\recycler\s-xxxxxx…資料夾
6.可在防火牆設定封鎖惡意網站,網站清單請參考趨勢網站的附件:WORM_DOWNAD_URL.txt
因為這隻病毒 也讓我整整忙了一個星期
試了各種方式 找尋了很多方法 配合officescan的解毒 大致上做法如下:
請記住 一定要更新微軟的hotfix...
此病毒是朝攻擊ad方式...一定要加強觀察
============================================================
一、OfficeScan的環境,在來源或受感染的主機對於Worm_Downad.AD的處理方式:
1.更新MS08-067:
http://www.microsoft.com/taiwan/technet/security/Bulletin/MS08-067.mspx
如果不更新,此病毒將可使用RPC漏洞,在不需驗證的情況下,直接執行惡意行為指令。如:放置病毒、修改帳密、增加工作排程…等。
2.更新掃描引擎 8.913.1005:(不需安裝RCM,可同時支援OSCE 8.0與7.x版)
適用條件:環境內有Windows 2000 Server / Professional或仍有無法刪除、無法隔離的狀況。
32位元掃描引擎:
http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-8.913-1005.ZIP
64位元掃描引擎:
http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-AMD64-8.913-1005.ZIP
64位元掃描引擎:(OSCE 7.x才有支援)
http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-IA64-8.913-1005.ZIP
手動更新步驟,請參考以下連結:(請務必小規模測試後,才使用OSCE Server進行部署)
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-122633&id=EN-122633
3.經由OfficeScan Server佈署DCE 6.0.1172:
a.請下載DCEv6.0.1172zip檔
http://trend-ftp.myftp.org/corp/dce_v6.0_hotfix_1172.zip
b.將DCEv6.0.1172.zip解壓縮後的tsc.exe覆製到..\PCCSRV\Admin目錄下,覆蓋掉已存在的檔案。
c.稍候數分鐘,於OfficeScan伺服器會套用到此更新
d.欲驗證伺服器是否更新成功,則可確認下列檔案的日期是否已變更為現在的日期即可
..\PCCSRV\Download\Engine\TSC.zip
e.管理主控台→更新→用戶端部署→手動部署→通知,將DCE部署至用戶端
f. 用戶端電腦→用戶端管理→更新檢視,確認用戶端的DCE版本是否更新
4.更新最新的防毒元件:掃描引擎(8.913.1006以上).、病毒碼(5.881.00以上)、一般防火牆病毒碼(10273以上)、DCT(1008以上)。
5.從OfficeScan Server對所有用戶端下達立即掃描,清除病毒後,務必請您重新開機。若不重新開機將持續對其它主機的預設共用(admin$)放置病毒。
6.掃描結果將會有兩種:
a.%system%下的病毒檔案無法刪除、無法隔離:若此主機重新開機後還有此訊息,請收集病毒樣本及SIC Log。
b.%system%下的病毒檔案持續出現刪除、隔離的訊息:這代表此主機受其它主機攻擊,但可被OSCE即時掃描偵測,只要將感染來源處理完畢,即不會再發生。
以上的步驟理應可以解決這個病毒問題,但處理過程中可能還會有步驟6的兩種狀況,只要狀況a的主機都處理過,那麼狀況b的主機就不會再跳出警訊。
二、可從防火牆紀錄檔或病毒紀錄檔查看感染來源:
1.防火牆紀錄檔(需開啟OfficeScan防火牆服務,並開啟IDS):
從紀錄檔中可看到攻擊類型為MS08-067,以接收方向查看,來源IP為攻擊主機;以傳送方向查看,目的IP為攻擊主機。
2.病毒紀錄檔(在沒有防火牆紀錄檔的備用方案):
紀錄檔中,不同主機出現同一個感染來源,則感染來源可能就是攻擊主機;一個感染來源只出現在一台主機上,感染來源就是攻擊主機的可能性較小。
在區分攻擊主機與受感染主機後,有兩種方案擇一先進行防護(防止擴大),再進行處理(縮小範圍):
方案一:從攻擊主機著手
直接封鎖網路,如拔掉這些主機的網路線或從防火牆封鎖該主機雙向TCP 139及445。
封鎖後,受感染主機不會再跳出警訊。(若該主機正提供服務,無法斷線,請跳過此步驟。)
方案二:從受感染主機著手
1.從防火牆封鎖接收TCP 139及445。
2.關閉預設共用admin$。
3.暫時不要使用隨身碟或網路磁碟機。
在限制影響範圍後,除了可重新執行上述「對於Worm_Downad.AD的處理方式」的步驟。
也可以直接在這些主機執行單機清除工具:
單機版清除工具會執行下列動作:
1. 刪除病毒所產生的dll檔(需重新啟動電腦)
2. 停止病毒處理程序
3. 刪除殘留的病毒機碼
4. 確認電腦是否有安裝微軟修正程式MS08-067
5. 關閉磁碟機自動播放功能
6. 刪除autorun.inf與recycle資料夾
7. 停止與排程工作有關的服務
手動下載位置:
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip
在確定沒有病毒後,再恢復網路通訊。
三、驗證該主機病毒是否已清除:
1. 更新微軟MS08-067,單機驗證工具:
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/va_test.zip
若電腦未安裝更新程式,會不斷IE Temp目錄下感染WORM_DOWNAD
2. %system%下不會再出現Worm_Downad的病毒?
3. 本機及網域的密碼已具有複雜度?
若不修改相關的管理者密碼,病毒會使用密碼字典攻擊法登入目標電腦的admin$\system32資料夾並產生WORM_DOWNAD
4. 將工作排程內at##(##代表數字)項目刪除後,不會再出現?
(目前OPR 5.769.00偵測病毒所產生的排程工作為TROJ_DOWNADJOB)
5. 本機(網路)磁碟機根目錄、共享資料夾是否有autorun.inf?
(病毒碼5.745.00以上版本可偵測Autorun.inf檔案為TROJ_DOWNAD.AD)
若在其他電腦上使用受感染的USB裝置,發現病毒的路徑為該磁碟機根目錄;
或將電腦map到有毒的網路磁碟機,發現病毒的路徑為網路磁碟機與\recycler\s-xxxxxx…資料夾
6.可在防火牆設定封鎖惡意網站,網站清單請參考趨勢網站的附件:WORM_DOWNAD_URL.txt
全站熱搜
留言列表