关于最近病毒泛滥的一些经验
关于最近病毒泛滥的一些经验
|最近以来,病毒泛滥,特别是机器狗这一穿透还原的里程碑式的病毒的出现,打破了网管平静的生活。于是论坛上满目的求助,也有不少人夜以继日的研究处理方法,并给出各自的解决方案。我在穷无计策的时候也用过各种各样的方法,但最后还是总结出了一条:
对付病毒没有一劳永逸的方法!
|虽然中毒无可避免,但是我们可以想办法将病毒带来的影响降到最小。
|下面我将自己的看法与经验总结一下,与各位探讨。
1.ARP与病毒传播
|病毒利用ARP攻击进行传播的原理我不多讲了,网上的一些文章已经说的很清楚。那么如何防止中病毒的机器向局域网发送攻击呢?我谈谈自己的看法,病毒传播用到的是WinpCAP这个网络嗅探工具,那么我们可以不让病毒安装此工具所需要的文件,具体哪些文件,大家可以自己动手试一下,下载winpcap安装,看看写入了什么文件一一记录,然后免疫,这样可以缓解单机中毒的情况下向局域网的机器发送攻击的情况。此方法经我试验后有效!
2.关于userinit.exe
|病毒感染userinit.exe文件在系统启动时就激活自动下载病毒这一狠招,让我也颇费了一番精力。在不改变文件大小的情况下,能够写入自动下载病毒的代码,从文件属性中很难看得出来。后来在一台屡中病毒的机器上专门研究此文件(中病毒也不恢复系统),后来还是在权限上做文章,拨掉网线替换掉此文件,然后在此文件的安全选项中,把所有用记的写入权限设为拒绝,现在还未发现异常。
3.U盘与病毒
|以我的经验,用户带到网吧来用的U盘、MP3、手机等十有八九带着autorun病毒,估计他们自己用的机子也好不到哪去,电脑盲还是占多数。我们网吧为了方便顾客,也没限制使用U盘。因为以前的Autorun病毒大不了就是往硬盘的各个盘符下也感染,但是经过免疫,基本也无甚大碍。可是现在的不一样了,顾客来了插上U盘,然后双击盘符,接着就是最不想看到的事,机子一台台就掉线了。但是当事人还不知道,还在那悠闲的听歌呢,直到他的机子也卡的动不了了才喊网管怎么回事,真是又气又恨但又没办法,只得苦口婆心的教他以后打开U盘用右键打开等等。但也不知道他到底听明白没听明白。
4.实在没办法,就装杀毒软件
|这一招也是在迫不得已的情况下用的,就像三十六计中的最后一计——走为上。但是中了病毒网管不能不干跑了呀,所以就只能先这样了,在配置允许的情况下,这也许是一个救急的法子。虽然现在装杀毒软件无异于中了一个厉害的病毒,但至少可以得到心理上的安慰。
|以上就是我的一些经验与看法。技术方面写的比较少,不知道为什么最近很少写技术性的文章了。但是我认为不管遇到什么样的事,首先精神不能先垮掉,整天沉浸在病毒的恶梦就容易钻牛角尖,所以累了的时候,不妨转换一下思路,或许一觉醒来就会茅塞顿开,处理问题也就得心应手了。^_^
|萧何@云南网盟
|二○○七年十一月三十日
