我院局域网病毒查杀案例分析

来源:用户上传      作者: 季微微

　　摘要：分析了我院病毒爆发的案例，并制定对应的措施，观察一年来，效果比较理想。
　　关键词：局域网；网络病毒；杀毒软件；网管软件
　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）20-4678-02
　　Analysis a Case of Anti-Virus in Local Area Network
　　JI Wei-wei
　　Abstract： Analysis a Case of virus bombing in our local area network， and establishing corresponding measures. Observation a year， ideal effect.
　　Key words： LAN；virus；anti-virus software；network management software
　　我院从2007年开始使用瑞星中小企业网络版杀毒软件[1]，该款杀毒软件杀毒和防毒能力都还算不错，因此于2012年7月续签合同，购买了1个系统中心，30个服务器和450个客户端，为期3年的升级服务的合同。我院计算机都封堵了USB口[2]，有部分部门可以使用注册的移动硬盘来存储数据。
　　2012年底开始，我院部分科室的计算机中毒较深且已严重影响了日常的工作。虽然客户端的瑞星能查杀出病毒，但是不能彻底查杀干净，导致客户端计算机和移动硬盘多次被病毒重复感染。
　　1 分析
　　1.1 瑞星系统中心日志情况分析
　　通过系统中心日志分析了整体染毒情况，大部分客户端均存在感染型病毒，报毒数量较多，整月染毒数量约为10万以上，主要以lpk和感染型病毒居多。
　　1.2 瑞星系统中心的定制策略
　　手动测试正常，定制的策略可以生效，但中心回馈延时较大。
　　1.3 针对部分感染较严重的机器进行处理
　　1.3.1 客户端1分析
　　查看病毒染毒记录，多数为lpk.dll文件及执行文件报毒，exe执行文件均被挂入lpk.dll的钩子文件，进入安全模式下执行扫描，报毒次数为300多次，其中windows目录下lpk.dll文件提示不处理，部分临时文件夹目录下产生的随机文件提示延迟删除，其余染毒文件均提示清除或删除染毒文件成功，重启后再次进入安全模式查杀，仍然提示存在染毒，后经分析，发现瑞星程序目录下exe文件均有挂入lpk.dll的情况，自身程序文件被感染，包括ravmond.exe及scan扫描进程，查杀全盘过程中未扫描自身目录，单独扫描RAV目录可报毒，修复或重装过程中存在100095533的报错提示，使用光盘刻录升级文件执行升级，升级后再次扫描仍然存在全盘感染。
　　1.3.2 客户端2、3、4分析
　　染毒情况基本与客户端1情况相同，软件仍然有感染后被破坏的迹象，故引导机器进入PE环境，实施PE杀毒，查杀完成后再次修复瑞星并执行扫描，未见再次感染，判断为可处理干净。
　　综合以上情况，此次染毒可以通过PE集成的杀毒环境处理干净。通过整体病毒日志分析，病毒来源初步断定为移动存储介质的感染和共享文件感染，染毒类型为混合型感染病毒，加强防范，针对移动存储介质实施管理措施。
　　2 措施
　　根据以上分析，在瑞星系统中心下发指令执行全网查杀已经解决不了问题，因为瑞星自身的安装目录都会被感染，而且会重复查杀到病毒，病毒查杀不彻底。只有对网内的计算机逐台进行PE查杀，才能解决根本问题，同时制定详细、周密的日常查杀计划，才能逐步地将病毒查杀干净。为此，分以下四个步骤来完成。
　　2.1 梳理瑞星系统中心
　　2.1.1 正确设置瑞星系统中心的3个菜单项
　　首先要正确设置好瑞星系统中心的病毒查杀类型。检查系统中心的“设置防毒策略、设置客户端选项、设置主动防御规则”这几个菜单项的设置是否合理。设置防毒策略菜单项里有以下几个选项“实施监控设置、嵌入式杀毒、手动查杀、定制任务、其他设置”。前四个选项可以分别设置在实施监控、嵌入式杀毒、手动杀毒、定制杀毒时的查杀文件类型及处理办法，这四个选项的查杀等级一定要设的高一点。定制任务里还可以设置定时的日自动查杀任务，我院系统中心设置的策略是周一至周五11：20全网定时查杀病毒。“其他设置”里有一个选项叫排除设置，当某些软件被瑞星误杀时，可以在这里添加软件的安装目录，瑞星就不会误杀。
　　2.1.2 客户端划分组
　　瑞星系统中心默认的分组只有一个分组“剩余组”。当客户端点数比较多，网段比较多时，不容易管理，所以我们按照楼房名称并结合VLAN的原则来划分组，比如体检中心是一个楼房名称，该楼里有3个VLAN，分别为1、16、23，那就可以分为3个组，“体检中心1、体检中心16和体检中心23”。
　　2.1.3 定时扫描操作系统漏洞及补丁下载、分发
　　设置客户端选项菜单里可以设置自动扫描操作系统漏洞补丁，我院设置的是每月1号12：00自动扫描。次日，根据扫描出的漏洞结果，导出网页形式的漏洞清单，去互联网上下载漏洞补丁。在客户端相对空闲的时间内，分发补丁至每一客户端。
　　2.2 组织人员对全院计算机进行逐台PE查杀
　　瑞星公司提供了一张PE环境下的查杀工具，效果比较好。首先要引导机器计入PE环境，然后用PE自带的解压工具把杀毒程序解压到本地硬盘，然后再执行查杀。如果在正常windows环境下解压，有可能杀毒程序就会感染病毒，影响杀毒效果。
　　2.3 制定病毒查杀计划
　　为了确保以后不再发生类似的大规模病毒爆发事件，我们还制定了详细的日、周、月查杀计划。 　　2.3.1 日计划
　　日计划含3项工作内容，一是打开瑞星系统中心主界面，核对每个分组里客户端的数量，主要是查看客户端数量有无增加或减少，因为有时因瑞星通讯故障造成信息中心监听不到客户端，需要手动检查才能发现；二是查看每个客户端的监控、主动防御、当前版本有无异常；三是查看病毒日志界面，对查杀到病毒的计算机要特别关注，继续追踪，病毒是否已经彻底查杀干净。
　　2.3.2 周计划
　　周计划含4项工作内容，一是在剩余组中，按照分组规则把新增客户端手动移至合适组里，并手动设置“设置防毒策略、设置客户端选项、设置主动防御规则”这3个菜单项；二是如有新增计算机，则需手动扫描漏洞；三是在漏洞管理工具界面，选择空闲时间给漏洞计算机打上补丁；四是病毒库升级。
　　2.3.3 月计划
　　月工作每月15日展开，包含2项工作内容月工作，一是联网查杀客户端计算机，需提前几天通知计算机用户在指定的时间内开启计算机，一般是选在中午午休时段。因我院计算机有500多台，所以需对计算机进行划分，分批次进行联网查杀；二是统计当月感染病毒的计算机
　　2.4 列出需重点监管的计算机名单
　　首先把近段时间内病毒爆发较多的计算机列入重点监管范围内，再结合每月感染病毒的计算机名单，最后汇总成一个总表，这个总表就作为下月的重点监管名单。
　　3 结束语
　　严格执行以上制定的措施，经过一年多时间后，本院的病毒已趋于稳定。总结几点，安装正版杀毒软件是非常有必要的，但是不能一装了之，平时需要有专人维护杀毒软件，定期组织全网查杀，一旦发现问题，就要及时跟踪处理。我院虽然购买了正版的杀毒软件，后续如果条件允许，应购买网管软件[1]，网管软件可以弥补杀毒的不足。安装使用网管软件用以控制网内每个计算机的行为。可以防止由于人员的有意或无意的操作通过其他媒介给局域网带来新的病毒。网管软件有以下几个作用，例如：如何真正控制、管理内网终端设备的运行；如何对内网的IP进行监管；如何对内网终端上传、下载文件等行为进行监管；如何对内网的敏感信息进行管理；如何发现终端设备的软件漏洞并分发补丁；如何防范移动设备随意接入内网等，这些都可以安装使用监控软件来实现。
　　参考文献：
　　[1] 刘臣.浅析医院局域网内的病毒防治[J].中国医疗设备，2009（24）：81-82.
　　[2] 姚峰.关于对医院信息系统管理和维护的探讨[J]. 医学信息学，2011（8）：5223-5224.
转载注明来源:https://www.xzbu.com/8/view-6084322.htm