商行杀毒实施报告

zq2007

商行杀毒实施报告

时间：11月19号-----11月23号
地点：石家庄商业银行总行
问题：ARP病毒的新变种
症状：该病毒变种除具备以往ARP病毒发作的特征，诸如：局域网内部分或全部计算机不能正常上网，无法打开Web网页或打开Web网页速度较慢以及局域网连接时断时续并且网速较慢。此外，它还会向局域网内发送伪造的ARP欺骗广播，并将受感染的计算机系统伪装成局域网网关，当局域网中的计算机系统发出访问Web网页请求的时候，伪装成网关的计算机系统会把Web网页下载下来，并在其中添加一段恶意地址代码一并发送给发出请求的计算机，造成该计算机系统访问Web网站时会主动连接该恶意网址。随后下载大量病毒、木马程序，盗取用户账号、密码等敏感信息，将盗取的信息上传到指定的网络服务器上，使得计算机系统遭到进一步的破坏，可能导致整个局域网成为“僵尸网络”。
实施过程：
接到商行电话反映总行有一台机器在登陆每个网页弹时候总是弹出广告认为是单机中毒（浏览器劫持），工程师过去对该机器进行仔细排查找到部分病毒并将其杀灭，但是存在问题始终没有解决。经过在商行仔细观察原来不止一台机器有同样问题（出现问题没有反映），这时感觉不是单机病毒问题，经分析应该为ARP病毒的型变种找到中毒机器短开网络，网络恢复正常。
机器中毒之后已经下载了大量的病毒、木马等恶意程序。使用nod32对中毒机器进行扫描，查出部分病毒但是主要问题没有解决。
回公司查找病毒删除办法发现是一个新的病毒变种，使用大量恶意软件查杀工具加手杀对中毒机器进行查杀。本以为病毒已经清楚，可是随后又发现病毒爆发ARP在另一台机器上，这让我们感觉这个病毒还有可能存在与其他机器。
经过对商业银行7#的每台机器的全面扫描，过程中商行nod32杀毒软件到19号就没有进行更新，每台机器都存在不同情况的系统漏洞最多的系统漏洞数量达到109个（使用360安全卫士查找），平均每台机器安装的恶意软件有15个---左右最高32个（使用恶意软件清除助手查找），每台机器的新变种的蠕虫、木马5个左右（使用一刀斩查找），每台机器病毒数量没有计算（使用nod32查找）。
为了防止ARP病毒再次影响网络正常运行，为7#用户开启360的防止ARP攻击的功能。
实施过程中为防止我们的U盘传播病毒我们在使用前对U盘首先进行格式化在使用已经清楚病毒的机器考取使用的工具。
问题分析：
1、
杀毒软件更新不及时，不能防范新行变种病毒的攻击
2、
由于工作需要商行经常使用U盘等移动设备互穿资料
3、
大量漏洞未能及时修复
4、
对出现的问题不能及时反映