4月15日,以“Trojan.Win32.RemoteExec.a”为主的挖矿病毒在玄武区院暴发,与全省多地不同部门情况差不多,具体表现是中毒面广(全院一半电脑中毒)、查杀不净(每天全院反复查杀也不能消灭)、文件监控病毒远多于文件查杀病毒。技术部门采取多项举措积极应对,最终获得彻底解决。
一、 多方调研分析病毒暴发原因
技术部门在瑞星公司的帮助下,分析了全院病毒查杀日志,确定这是由电脑装机过程中使用“驱动之家”等自动安装驱动和打补丁的软件造成的,这类软件方便了电脑的系统安装,但这类软件也被植入了 “Trojan.Win32.RemoteExec.a”挖矿病毒,在电脑接入检察内网后,病毒会搜索检察内网中具有固定IP的电脑终端,并通过445端口将病毒传染给健康电脑,被传染的电脑再传染其他电脑。染毒电脑会修改防火墙规则和生成定时攻击任务,以及在电脑的不同目录下产生病毒文件,这些文件对于杀毒软件的顺序查杀具备再生能力,造成查杀不净的困扰。
二、 采取多项针对性措施科学应对
技术部门经过多方学习调研,反复试验,最后,综合考虑各种防毒杀毒手段对全院检察工作的影响,制定了切断外部445端口,保留内部445端口,使用瑞星杀毒策略设置、挖矿病毒专杀工具、电脑终端系统重装等手段,科学有序,消除全院网络病毒。
1. 阻止挖矿病毒的院内外传播。针对挖矿病毒依赖445端口进行扩散传播的特点,在中心机房核心交换机上设置拦截445、135、137、138、139端口的内外互访,同时在内网出口接入防病毒网关,实时监控病毒的内外传染情况。这项措施的测试结果表明,中断院内外的网络协议的端口联系可以完全阻断这次挖矿病毒的跨院传播;
2. 删除全院电脑终端的挖矿病毒。根据挖矿病毒生成定时任务、分散存放病毒文件的特点,技术部门在全院每台电脑终端上运行“挖矿病毒消除工具”,同时删除挖矿病毒、删除病毒定时任务,打开防火墙并封锁135、137、138、139端口。经过这项措施后,全院的中毒电脑从几十台下降为几台;
3. 重装系统或更换新电脑。对个别几台电脑存在复杂的多种病毒同时感染的情况,技术部门对这些电脑进行了系统重装,甚至更换新电脑,彻底地消灭了全院检察内网上的病毒。
4. 充分发挥瑞星杀毒服务器的策略部署和程序投送能力。在两周多的病毒查杀期间,瑞星杀毒服务器的强大管理能力发挥重要作用,包括全院所有电脑病毒查杀的实时运行和定期运行的设置、各电脑终端的病毒专杀工具软件的投送和同时运行,瑞星终端版本、病毒库及系统补丁的及时更新,杀毒日志与统计分析,等等,每天都在发挥着很难替代的重要作用。
三、 总结经验教训提高病毒防护能力
经过近三周时间,多项措施,积极应对这次挖矿病毒暴发,技术部门终于完全消灭了全院检察内网上的病毒,净化了全院网络运行环境,消除了院内网络受外界攻击以及对外攻击的隐患。这次病毒暴发和应对解决提高了技术部门日常工作中对病毒防护的认识和丰富了防范和应对的手段,对进一步加强网络安全的软硬件建设和技术部门提高队伍的专业素养具有很大的促进作用。