2007年12月初,就在H集团的IT子公司B召开发布会的前夕,东方微点却意外接到了紧急求救电话–局域网全部瘫痪,所有业务活动被迫陷入了停滞。
电话里简单了解了一下情况:据B公司网管介绍,该公司数百台业务电脑,两天来网络一直时断时续,刚才更是突然全部瘫痪。通过交流,微点技术人员在排除交换机、路由器等网络硬件设备故障等因素后,初步断定为臭名昭著的黑金ARP病毒导致。判断出症状,接下来就是如何对症下药去除病灶了。
新平台不敌ARP欺骗
ARP病毒不论千变万化,处理原则都是要杀防并举,既要用双向绑定MAC地址来防御ARP欺骗,更要主动出击将ARP毒源连根拔除。对微点技术人员来说,ARP处理方案早已烂熟于胸,检查了一下U盘里的主动防御软件安装程序,即刻出发。
路上回想了一下近期接到的很多企业的求救,业务部门相对损失小一些,大多都属于间接损失,网络通讯中断,仍然可以用电话传真等通讯手段勉强维持联系沟通;但对于生产车间来说,网络瘫痪造成的损失会非常大,而且直接损失居多。
到达现场后,B公司领导询问的问题非常直接也非常现实,一是希望尽快恢复网络使用,不要影响该公司发布会工作进度;二是询问此类网络病毒是否会被黑客利用窃取公司重要文件,是否存在泄密?当然,我们非常理解用户的心情,但是技术问题来不得半点虚假,我们需要对情况进行具体摸底调查后才能明确回答B公司领导的问题。
经与B公司网管沟通后得知,该公司刚刚迁到新址,办公区数千平方米,办公用机数百台,台式机、笔记本、工作站、服务器设备种类繁多,依照业务种类共分为两层,并且随着员工陆续报道,数量还在持续增加。
刚刚搭建的新平台就被突然袭来的ARP病毒打个措手不及,全网瘫痪。B公司网管使用一些网络工具业已初步确认局域网内有大量的ARP欺骗数据包,也在积极采取措施,将全网断开,并着手利用三层交换机划分VLAN,试图用子网来避免ARP病毒对全网的影响。B公司在防病毒方面既没有部署统一的安全防护软件,也没有做具体规划,任由员工随意安装。只是在近两天出事以后,强行统一安装了一批杀毒软件和防火墙,但是收效甚微。
了解了基本情况后,下面要做的就是实地查看细节以落实具体解决方案。
女员工电脑是高危区
环顾了一下办公区,径直走向了女员工最密集的区域。不要想歪了,这可是多次现场摸索出来的独家经验–女职员较多的部门往往是病毒的重灾区。
果不其然在B公司财务部随便找了一台电脑做样例,安装微点主动防御软件,重启后即干掉了黑金ARP和著名的灰鸽子木马以及多种网游盗号木马。B公司领导的两个问题在这里都找到了答案,第一,网络瘫痪确为黑金ARP病毒导致,确认了原因我们就有把握在短时间内解决好病毒的问题;第二,盗号木马对公司企业的影响不大,但是灰鸽子之类远程控制木马的现身,表明该公司确实存在有重要文件外泄的可能。当然,具体的病毒清除过程绝不会是一帆风顺,数百台计算机的复杂环境,中间也出了一些小插曲。
女员工的电脑是病毒、恶意插件的高危区。一位女员工的电脑真的是太"缤纷多彩"了,病毒、木马和插件的种类多得令人实在叹为观止!对于病毒木马,主动防御软件会自动处理并向用户报警告知。插件的清理方法很简单,切换到主动防御软件的系统自启动信息项目,右键隐藏已知的启动信息,用右键菜单将插件一个一个送入回收站即可。
说实话,真服了这位女士了。她的电脑出现问题已经好几个月了,Windows登录时从输入用户名密码到进入桌面需要忍耐10多分钟,她仍然还能耐心凑合着用。这个问题看似很棘手,似乎无从下手。但是,其实大家都能猜到问题多半是由于某个进程陷入死循环导致,只是苦于找不到具体的进程。
解决的方法很简单,切换到主动防御软件的进程启动日志项目,一眼就能看到启动过程中有一个异常现象,即有两个进程间的启动时间居然相差了10分钟以上。显然病因就在于前一个进程陷入了死循环,根据路径找到了这个程序,原来是某网络安全服务提供商的企业版客户端,将其卸载后,问题彻底解决。
某杀毒软件每次启动系统都报毒,但是怎么也杀不掉,这也是一种典型情况,为了便于理解可以形象地称之为子母型木马,即木马母体X.exe运行后生成子木马Y.exe并保护Y.exe不被清除。由于该杀毒软件依靠病毒库仅能查出子木马Y.exe,而查不出木马母体X.exe,所以很必然就导致了这个现象:反复报警子木马Y.exe,但就是无法将其清除,因为子木马Y.exe处于木马母体X.exe保护中。
解决的方法很简单,只要把木马母体X.exe和子木马Y.exe一并干掉,事情就OK了。为了向用户展示具体的效果,暂时关闭该杀毒软件监控,安装主动防御软件并重启,主动防御技术自动分析木马程序行为以及木马程序之间的逻辑关系,依次将子木马Y.exe和其生成者木马母体X.exe顺利报出,重启后病毒被彻底干掉。
H集团的所有员工均非常配合网管人员和反病毒专家的工作。在B公司员工的配合下,几个小时就完成了主动防御软件的全网部署工作,黑金ARP病毒清除工作业已同步完成。