2007年12月初,就在H集團的IT子公司B召開發佈會的前夕,東方微點卻意外接到了緊急求救電話--局域網全部癱瘓,所有業務活動被迫陷入了停滯。
電話裡簡單瞭解了一下情況:據B公司網管介紹,該公司數百台業務電腦,兩天來網絡一直時斷時續,剛才更是突然全部癱瘓。通過交流,微點技術人員在排除交換機、路由器等網絡硬體設備故障等因素後,初步斷定為臭名昭著的黑金ARP病毒導致。判斷出症狀,接下來就是如何對症下藥去除病灶了。
新平台不敵ARP欺騙
ARP病毒不論千變萬化,處理原則都是要殺防並舉,既要用雙向綁定MAC地址來防禦ARP欺騙,更要主動出擊將ARP毒源連根拔除。對微點技術人員來說,ARP處理方案早已爛熟於胸,檢查了一下USB隨身碟裡的主動防禦軟體安裝程序,即刻出發。
路上回想了一下近期接到的很多企業的求救,業務部門相對損失小一些,大多都屬於間接損失,網絡通訊中斷,仍然可以用電話傳真等通訊手段勉強維持聯繫溝通;但對於生產車間來說,網絡癱瘓造成的損失會非常大,而且直接損失居多。
到達現場後,B公司領導詢問的問題非常直接也非常現實,一是希望盡快恢復網絡使用,不要影響該公司發佈會工作進度;二是詢問此類網絡病毒是否會被黑客利用竊取公司重要文件,是否存在洩密?當然,我們非常理解用戶的心情,但是技術問題來不得半點虛假,我們需要對情況進行具體摸底調查後才能明確回答B公司領導的問題。
經與B公司網管溝通後得知,該公司剛剛遷到新址,辦公區數千平方米,辦公用機數百台,台式機、筆記本、工作站、伺服器設備種類繁多,依照業務種類共分為兩層,並且隨著員工陸續報道,數量還在持續增加。
剛剛搭建的新平台就被突然襲來的ARP病毒打個措手不及,全網癱瘓。B公司網管使用一些網絡工具業已初步確認局域網內有大量的ARP欺騙資料包,也在積極採取措施,將全網斷開,並著手利用三層交換機劃分VLAN,試圖用子網來避免ARP病毒對全網的影響。B公司在防病毒方面既沒有部署統一的安全防護軟體,也沒有做具體規劃,任由員工隨意安裝。只是在近兩天出事以後,強行統一安裝了一批殺毒軟體和防火牆,但是收效甚微。
瞭解了基本情況後,下面要做的就是實地查看細節以落實具體解決方案。
女員工電腦是高危區
環顧了一下辦公區,逕直走向了女員工最密集的區域。不要想歪了,這可是多次現場摸索出來的獨家經驗--女職員較多的部門往往是病毒的重災區。
果不其然在B公司財務部隨便找了一台電腦做樣例,安裝微點主動防禦軟體,重啟後即幹掉了黑金ARP和著名的灰鴿子木馬以及多種網游盜號木馬。B公司領導的兩個問題在這裡都找到了答案,第一,網絡癱瘓確為黑金ARP病毒導致,確認了原因我們就有把握在短時間內解決好病毒的問題;第二,盜號木馬對公司企業的影響不大,但是灰鴿子之類遠程控制木馬的現身,表明該公司確實存在有重要文件外洩的可能。當然,具體的病毒清除過程絕不會是一帆風順,數百台計算機的複雜環境,中間也出了一些小插曲。
女員工的電腦是病毒、惡意插件的高危區。一位女員工的電腦真的是太「繽紛多彩」了,病毒、木馬和插件的種類多得令人實在歎為觀止!對於病毒木馬,主動防禦軟體會自動處理並向用戶報警告知。插件的清理方法很簡單,切換到主動防禦軟體的系統自啟動信息項目,右鍵隱藏已知的啟動信息,用右鍵菜單將插件一個一個送入回收站即可。
說實話,真服了這位女士了。她的電腦出現問題已經好幾個月了,Windows登錄時從輸入用戶名密碼到進入桌面需要忍耐10多分鐘,她仍然還能耐心湊合著用。這個問題看似很棘手,似乎無從下手。但是,其實大家都能猜到問題多半是由於某個進程陷入死循環導致,只是苦於找不到具體的進程。
解決的方法很簡單,切換到主動防禦軟體的進程啟動日誌項目,一眼就能看到啟動過程中有一個異常現象,即有兩個進程間的啟動時間居然相差了10分鐘以上。顯然病因就在於前一個進程陷入了死循環,根據路徑找到了這個程序,原來是某網絡安全服務提供商的企業版客戶端,將其卸載後,問題徹底解決。
某殺毒軟體每次啟動系統都報毒,但是怎麼也殺不掉,這也是一種典型情況,為了便於理解可以形象地稱之為子母型木馬,即木馬母體X.exe運行後生成子木馬Y.exe並保護Y.exe不被清除。由於該殺毒軟體依靠病毒庫僅能查出子木馬Y.exe,而查不出木馬母體X.exe,所以很必然就導致了這個現象:反覆報警子木馬Y.exe,但就是無法將其清除,因為子木馬Y.exe處於木馬母體X.exe保護中。
解決的方法很簡單,只要把木馬母體X.exe和子木馬Y.exe一併幹掉,事情就OK了。為了向用戶展示具體的效果,暫時關閉該殺毒軟體監控,安裝主動防禦軟體並重啟,主動防禦技術自動分析木馬程序行為以及木馬程序之間的邏輯關係,依次將子木馬Y.exe和其生成者木馬母體X.exe順利報出,重啟後病毒被徹底幹掉。
H集團的所有員工均非常配合網管人員和反病毒專家的工作。在B公司員工的配合下,幾個小時就完成了主動防禦軟體的全網部署工作,黑金ARP病毒清除工作業已同步完成。
(