Comment résoudre le virus du ver Windows

0x00 Avant-propos

Le virus Worm est un virus informatique très ancien. Il s'agit d'un programme autonome (ou d'un ensemble de programmes) qui se propage généralement à travers le réseau à chaque fois qu'il envahit un nouveau. ordinateur, il se copie sur cet ordinateur et exécute automatiquement son propre programme.

Vers communs : Virus de l'encens brûlant le panda, Virus de l'onde de choc/onde de choc, Virus Conficker, etc.

0x01 Scénario d'urgence

Un matin, l'administrateur a découvert au niveau du pare-feu de sortie que le serveur du réseau interne continuait d'initier des connexions actives vers des adresses IP étrangères dans l'environnement du réseau interne. était impossible de se connecter au réseau externe.

0x02 Analyse des événements

Pour l'adresse IP intranet du serveur vue sur le pare-feu de sortie, déconnectez d'abord l'hôte infecté par le virus de l'intranet, puis connectez-vous au serveur et ouvrez le D Shield _Web vérifie l'état de la connexion du port et vous pouvez constater que la zone locale initie un grand nombre de connexions actives au réseau IP externe :

Track l'ID du processus via les exceptions de port, on peut constater que cette exception est causée par le processus principal du service Windows svchost.exe. svchost.exe envoie des requêtes au port 445 d'un grand nombre d'adresses IP distantes :
.

Ici, nous spéculons. Il est possible que le processus système soit infecté par des virus. Utilisez l'outil d'analyse antivirus de Kaspersky pour analyser et tuer tous les fichiers et trouver une exception dans c:windowssystem32qntofmhz.dll : # 🎜🎜#

Utiliser plusieurs moteurs Analyse antivirus en ligne (http://www.virscan.org/) Scannez ce fichier :

# 🎜🎜#
Confirmez que le serveur est infecté par les virus du ver conficker, téléchargez l'outil de suppression du ver conficker pour vérifier le serveur et supprimez avec succès le virus.

1、发现异常：出口防火墙、本地端口连接情况，主动向外网发起大量连接
2、病毒查杀：卡巴斯基全盘扫描，发现异常文件
3、确认病毒：使用多引擎在线病毒对该文件扫描，确认服务器感染conficker蠕虫病毒。
4、病毒处理：使用conficker蠕虫专杀工具对服务器进行清查，成功清除病毒。

0x03 Mesures de précaution

Dans les intranets gouvernementaux et hospitaliers, il existe encore de très vieux virus infectieux. Comment se protéger. votre ordinateur contre une infection virale, résumé plusieurs mesures préventives :

1、安装杀毒软件，定期全盘扫描
2、不使用来历不明的软件，不随意接入未经查杀的U盘
3、定期对windows系统漏洞进行修复，不给病毒可乘之机
4、做好重要文件的备份，备份，备份。

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!