由以上经历以及耳闻目染,风闻其势,得出此类病毒感染以及发作之可能经过:用户由于系统漏洞没有及时安装补丁,或者使用超级用户权限帐号浏览过恶意网站、运行了不明程序或文件,导致感染了病毒。此病毒常驻系统后自我复制并自动连接上线肉鸡然后下载多种木马种植于此新肉鸡,并疯狂使用此肉鸡用弱口令试图登陆其他网络计算机,使感染更多机器;感染到其他机器后,疯狂发送各类其他木马、蠕虫病毒以供受感染机器感染更多病毒,成就更多肉鸡。此举势必占用大量网络带宽,与DDOS洪水攻击有异曲同工之妙,将迫使网络交换、路由设备不堪重负而瘫痪。此极有可能就是网络变缓,但重启交换机或路由器后网速又能得到改善的根本原因。并且由于病毒占用过多进程,导致系统资源满负荷运行,中毒机器运行将明显变缓。
此类病毒的危害在于:
1、借助内部网络高速带宽,感染大量网内其他存在漏洞的电脑,往往使病毒一中一大片。
2、占用大量网络带宽,使网速变缓。
3、有一定智能,变种极多,防毒软件遵循总是迟于病毒出现时间有效的原则,可能受制于新变种病毒。
4、借助类似DDOS手段,读取其他网络计算机SAM帐号,强行并发式使用弱口令试图登陆其他计算机,导致未感染病毒的其他计算机帐号登录次数超过限制,帐号被锁,影响正常使用。
总结手工杀毒步骤如下:
1、手工下载并收藏所有SP5单个小文件(就win2k而言,合共已有近100M)
2、断开网络
3、重启到安全模式
4、检查并清除【HLMSOFTWAREMicrosoftWindowsCurrentVersionRun*】各不明启动项键值
5、检查并清除【HCUSOFTWAREMicrosoftWindowsCurrentVersionRun*】各不明启动项键值
6、查不明服务并禁止之,如无,继续步骤7;如有,禁止后,回到步骤3。
7、重点查【%SystemRoot%system32】目录下所有隐藏exe、com,检查其属性,不明来历者删无赦(可先放回收站,重启没事后再清除)。
8、在更新最新病毒库后不妨用杀毒软件扫描系统盘所有文件一次。
9、确认SP4已安装的基础上打全所有SP5补丁
10、重启到正常模式使用
注:由于判断是否非法程序需要一定经验,特提供一简单办法:点击可疑程式查阅【属性】,正常程式都在【版本】栏附带有公司名、版本、版权等信息,就算是3721、败毒等垃圾也带有相应的信息,而蠕虫、木马等程式则极大可能无任何信息可供查阅、参考,据此可判断大多数非法程序。
保持“没毒”的几个小技巧:
1、使用Proxy或者NAT隔离局域网与外网的无缝隙联通
2、在局域网所有机器杜绝超级用户密码为空、帐号与密码相同、密码超级简单等弱智行为。
3、权限分配严格遵循【够用】原则,尽量防止不必要的超级用户产生。
4、使用企业版杀毒软件安装防病毒中央服务器,设置好使及时自动检查、下载更新病毒库并自动向客户端分发最新病毒库。
5、借助SUS等同类windows补丁自动下载服务软件,设置好使其能向所有客户端自动分发并安装最新补丁。
6、及时提醒同事注意上网安全,不去不必要的网站,不执行任何不明文件, 注意上网卫生。
7、有空多检查一下任务管理器是否有不明进程,多登陆windows自动升级中心检查最新补丁升级。