最近接二連三 多個廠區都中了worm_downad的病毒
因為這隻病毒 也讓我整整忙了一個星期
試了各種方式 找尋了很多方法 配合officescan的解毒 大致上做法如下:

請記住 一定要更新微軟的hotfix...

此病毒是朝攻擊ad方式...一定要加強觀察

============================================================


一、OfficeScan的環境,在來源或受感染的主機對於Worm_Downad.AD的處理方式:

1.更新MS08-067:

http://www.microsoft.com/taiwan/technet/security/Bulletin/MS08-067.mspx

如果不更新,此病毒將可使用RPC漏洞,在不需驗證的情況下,直接執行惡意行為指令。如:放置病毒、修改帳密、增加工作排程…等。



2.更新掃描引擎 8.913.1005:(不需安裝RCM,可同時支援OSCE 8.0與7.x版)

適用條件:環境內有Windows 2000 Server / Professional或仍有無法刪除、無法隔離的狀況。

32位元掃描引擎:

http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-8.913-1005.ZIP

64位元掃描引擎:

http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-AMD64-8.913-1005.ZIP

64位元掃描引擎:(OSCE 7.x才有支援)

http://trend-ftp.myftp.org/corp/ScanEngine/VSAPI-KD-IA64-8.913-1005.ZIP

手動更新步驟,請參考以下連結:(請務必小規模測試後,才使用OSCE Server進行部署)

http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-122633&id=EN-122633

3.經由OfficeScan Server佈署DCE 6.0.1172:

a.請下載DCEv6.0.1172zip檔
http://trend-ftp.myftp.org/corp/dce_v6.0_hotfix_1172.zip

b.將DCEv6.0.1172.zip解壓縮後的tsc.exe覆製到..\PCCSRV\Admin目錄下,覆蓋掉已存在的檔案。

c.稍候數分鐘,於OfficeScan伺服器會套用到此更新

d.欲驗證伺服器是否更新成功,則可確認下列檔案的日期是否已變更為現在的日期即可
..\PCCSRV\Download\Engine\TSC.zip

e.管理主控台→更新→用戶端部署→手動部署→通知,將DCE部署至用戶端

f. 用戶端電腦→用戶端管理→更新檢視,確認用戶端的DCE版本是否更新

4.更新最新的防毒元件:掃描引擎(8.913.1006以上).、病毒碼(5.881.00以上)、一般防火牆病毒碼(10273以上)、DCT(1008以上)。

5.從OfficeScan Server對所有用戶端下達立即掃描,清除病毒後,務必請您重新開機。若不重新開機將持續對其它主機的預設共用(admin$)放置病毒。


6.掃描結果將會有兩種:

a.%system%下的病毒檔案無法刪除、無法隔離:若此主機重新開機後還有此訊息,請收集病毒樣本及SIC Log。

b.%system%下的病毒檔案持續出現刪除、隔離的訊息:這代表此主機受其它主機攻擊,但可被OSCE即時掃描偵測,只要將感染來源處理完畢,即不會再發生。



以上的步驟理應可以解決這個病毒問題,但處理過程中可能還會有步驟6的兩種狀況,只要狀況a的主機都處理過,那麼狀況b的主機就不會再跳出警訊。





二、可從防火牆紀錄檔或病毒紀錄檔查看感染來源:

1.防火牆紀錄檔(需開啟OfficeScan防火牆服務,並開啟IDS):

從紀錄檔中可看到攻擊類型為MS08-067,以接收方向查看,來源IP為攻擊主機;以傳送方向查看,目的IP為攻擊主機。

2.病毒紀錄檔(在沒有防火牆紀錄檔的備用方案):

紀錄檔中,不同主機出現同一個感染來源,則感染來源可能就是攻擊主機;一個感染來源只出現在一台主機上,感染來源就是攻擊主機的可能性較小。



在區分攻擊主機與受感染主機後,有兩種方案擇一先進行防護(防止擴大),再進行處理(縮小範圍):

方案一:從攻擊主機著手

直接封鎖網路,如拔掉這些主機的網路線或從防火牆封鎖該主機雙向TCP 139及445。

封鎖後,受感染主機不會再跳出警訊。(若該主機正提供服務,無法斷線,請跳過此步驟。)



方案二:從受感染主機著手

1.從防火牆封鎖接收TCP 139及445。

2.關閉預設共用admin$。

3.暫時不要使用隨身碟或網路磁碟機。



在限制影響範圍後,除了可重新執行上述「對於Worm_Downad.AD的處理方式」的步驟。

也可以直接在這些主機執行單機清除工具:

單機版清除工具會執行下列動作:

1. 刪除病毒所產生的dll檔(需重新啟動電腦)

2. 停止病毒處理程序

3. 刪除殘留的病毒機碼

4. 確認電腦是否有安裝微軟修正程式MS08-067

5. 關閉磁碟機自動播放功能

6. 刪除autorun.inf與recycle資料夾

7. 停止與排程工作有關的服務

手動下載位置:

http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip

在確定沒有病毒後,再恢復網路通訊。





三、驗證該主機病毒是否已清除:

1. 更新微軟MS08-067,單機驗證工具:

http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/va_test.zip

若電腦未安裝更新程式,會不斷IE Temp目錄下感染WORM_DOWNAD



2. %system%下不會再出現Worm_Downad的病毒?



3. 本機及網域的密碼已具有複雜度?

若不修改相關的管理者密碼,病毒會使用密碼字典攻擊法登入目標電腦的admin$\system32資料夾並產生WORM_DOWNAD



4. 將工作排程內at##(##代表數字)項目刪除後,不會再出現?

(目前OPR 5.769.00偵測病毒所產生的排程工作為TROJ_DOWNADJOB)



5. 本機(網路)磁碟機根目錄、共享資料夾是否有autorun.inf?

(病毒碼5.745.00以上版本可偵測Autorun.inf檔案為TROJ_DOWNAD.AD)

若在其他電腦上使用受感染的USB裝置,發現病毒的路徑為該磁碟機根目錄;

或將電腦map到有毒的網路磁碟機,發現病毒的路徑為網路磁碟機與\recycler\s-xxxxxx…資料夾



6.可在防火牆設定封鎖惡意網站,網站清單請參考趨勢網站的附件:WORM_DOWNAD_URL.txt
arrow
arrow
    全站熱搜

    taichenyu 發表在 痞客邦 留言(1) 人氣()