Windows应急响应Day2：蠕虫病毒

前言

蠕虫病毒是一种十分古老的计算机病毒，它是一种自包含程序（或是一套程序），通常通过网络途径传播。每入侵到一台新的计算机，它就在这台计算机上复制自己，并自己执行它的程序。

应急场景

某天早上：管理员在出口防火墙发现内网服务器不断向外境IP发起主动连接，内网环境无法连通外网。

事件分析

在出口防火墙看到的服务器内网IP。首先将中病毒的主机从内网断开，然后登录该服务器，打开D盾_web查杀查看端口连接情况，可以发现本地向外网IP发起大量的主动连接。

通过端口异常，跟踪进程ID，可以找到该异常由svchost.exe windows服务主进程引起，svchost.exe向大量远程IP的445端口发送请求。

这里我们推测可以系统进程被病毒感染，使用卡巴斯基病毒查杀，对全盘文件进行查杀，发现在 c:windowssystem32qntofmhz.dll异常

使用多引擎在线病毒扫描对文件进行扫描:http://www.virscan.org

确认服务器感染conficker蠕虫病毒，下载confiker蠕虫专杀工具对服务器进行查杀，成功清除病毒。

大致流程：

1.发现异常：出口防火墙，本地端口连接情况，主动向外网发起大量连接。 2.确认异常：使用多引擎在线病毒对该文件扫描，确认服务器感染conficker蠕虫病毒。 3.病毒处理：使用conficker蠕虫专杀工具对服务器进行清查，成功清除病毒。

预防处理措施

在政府，医院内网，已然存在着一群很古老的感染性病毒，如何保护病毒不受病毒感染，有以下措施：

1.不适用来历不明的软件，不随意接入未经查杀的U盘。 2.定期对windows系统漏洞进行修复，不给病毒可乘之机。