Windows ワーム ウイルスを解決する方法

0x00 はじめに

ワーム ウイルスは非常に古いコンピュータ ウイルスです。通常、ネットワークを通じて拡散する自己完結型のプログラム (またはプログラムのセット) です。新しいコンピュータに侵入するたびに、このコンピュータ上で自身を複製し、独自のプログラムを自動的に実行します。

一般的なワーム: パンダ焚き香ウイルス、衝撃波/衝撃波ウイルス、Conficker ウイルスなど。

0x01 緊急シナリオ

ある朝、管理者は、内部ネットワーク サーバーが海外 IP へのアクティブな接続を開始し続けていることを出口ファイアウォールで発見しました。内部ネットワーク環境は外部 IP に接続できませんでした。ネットワークに問題があり、それを理解する方法がありませんでした。

0x02 イベント分析

出口ファイアウォールで確認されるサーバーのイントラネット IP については、まずウイルスに感染したホストをイントラネットから切断し、次にサーバーにログインして D-shield_web を開きます。 scan ポートの接続ステータスを確認すると、ローカル エリアが外部ネットワーク IP:

への多数のアクティブな接続を開始していることがわかります。これは、ポート例外とプロセスの追跡を通じて行われます。 ID を確認すると、例外が svchost.exe ウィンドウによって引き起こされていることがわかります。サービスのメイン プロセスが原因で、svchost.exe は多数のリモート IP のポート 445 にリクエストを送信します:

ここでは、システム プロセスがウイルスに感染している可能性があると推測し、Kaspersky ウイルスをチェックして強制終了するツールを使用し、すべてのファイルをスキャンして強制終了し、c:\windows\system32\qntofmhz.dll で例外を見つけます。

マルチエンジンのオンライン ウイルス スキャンを使用します (http://www.virscan.org /) ファイルをスキャンします:

サーバーが Conficker ワーム ウイルスに感染していることを確認し、Conficker ワーム駆除ツールをダウンロードしてサーバーをチェックし、ウイルスを正常に削除します。

1、发现异常：出口防火墙、本地端口连接情况，主动向外网发起大量连接
2、病毒查杀：卡巴斯基全盘扫描，发现异常文件
3、确认病毒：使用多引擎在线病毒对该文件扫描，确认服务器感染conficker蠕虫病毒。
4、病毒处理：使用conficker蠕虫专杀工具对服务器进行清查，成功清除病毒。

0x03 予防策

政府機関や病院のイントラネットには、非常に古い感染性ウイルスがまだ存在しています。ウイルス感染からコンピュータを保護する方法、いくつかの概要をまとめています。予防策:

1、安装杀毒软件，定期全盘扫描
2、不使用来历不明的软件，不随意接入未经查杀的U盘
3、定期对windows系统漏洞进行修复，不给病毒可乘之机
4、做好重要文件的备份，备份，备份。

以上がWindows ワーム ウイルスを解決する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。