服务器WORM_DOWNAD.AD 病毒清除

hongrongsun

服务器WORM_DOWNAD.AD 病毒清除

WORM_DOWNAD.AD是典型的网络病毒。自2008年12月第一次现身至今，已经感染超过一千五百万台计算机，是近期发现散播能力最强的网终病毒。笔者仅以自身实例，阐述查找、清除WORM_DOWNAD.AD病毒的防范方式方法同时提出相关的防范策略。第一部分主要介绍排查故障的诊断思路，目的在于共同交流检查故障的方式方法；第二部分主要概括WORM_DOWNAD.AD病毒的清除方法，该办法为笔者事后之总结，旨在针对问题解决问题，少谈理论，直笔方法；第三部分阐述了针对WORM_DOWNAD.AD病毒所设定的安防策略。笔者以自我之拙见共提出了五点具体防范策略以供参考。

编按：近期，本院服务器首次遭受WORM_DOWNAD.AD病毒攻击，致服务器瘫痪，数据库及OA系统全线中断，恰时节假，虽未真正影响工作，但足见其危害，为此，笔者以工作实践之总结奉献给业内同仁，即是经验亦是教训，愿拙见能为同仁们提供参考或借鉴，如遇此类问题能顺利解决或作为防御之道足矣，同时，期望能有幸与诸君交流，互勉共进

前言

WORM_DOWNAD.AD是WORM_DOWNAD病毒的变种，类型为蠕虫，是典型的网络病毒。其特征为主动进攻，暴力破解计算机登录密码后潜伏，待发作时向端口发送大量垃圾包堵塞网络。时下这类病毒正疯狂暴发于互联网，自2008年12月第一次现身至今，已经感染超过一千五百万台计算机，是近期发现散播能力最强的网终病毒。该病毒透过微软安全漏洞展开攻击，一旦计算机被感染，首先会关闭安全防护或杀毒软件，进而攻击445端口，造成网络严重堵塞，数据服务中断。然而，清除病毒，恢复网络服务却是个不小的工程，仁者见仁，智者见智！笔者仅以自身实例，将工作手册中对WORM_DOWNAD.AD查找、清除过程的有关事项的记载进行总结，进而阐述查找、清除WORM_DOWNAD.AD病毒的防范方式方法同时提出相关的防范策略。第一部分主要介绍与自身实践结合，排查故障的诊断思路，目的在于共同交流检查故障的方式方法；第二部分主要概括WORM_DOWNAD.AD病毒的清除方法，该办法为笔者事后之总结，旨在针对问题解决问题，少谈理论，直笔方法；第三部分阐述了针对WORM_DOWNAD.AD病毒所设定的安防策略。笔者以自我之拙见共提出了五点具体防范策略以供参考，更望能引起各位领导与广大应用人员的共鸣。

一、WORM_DOWNAD.AD病毒的发现及危害

2010年新春伊始，有同事反应办公网无法登录，于是立即查看，发现全院无一台电脑可访问数据库，办公网络全部瘫痪，经过认真思考，执行了如下检测思路：

首先，使用排除法诊断故障，从任意工作站ping主服务器，发现不通，但与防病毒服务器相通，主服务器到网关和防病毒服务器均不通，主服务器显示网络中断，基本可以确定故障范围为：一是主服务器网卡，二是主交换机网口，三是主服务器与交换机之间的线路。

更换网线，调换服务器到主交换机上的网口，故障仍不能被排除，重起交换机亦是如此，交换机数据灯闪烁无异常，可以排除网络回路，交换机共重启过四次，其中两次主服务器显示网络已连接，但主服务器数据流异常，数据发送包约11万，接收包不到5万，防毒系统图标为断开模式，杀毒引擎显示为空值。总体分析问题复杂，但交换机的故障已可排除在外。

其次，用笔记本电脑与主服务器进行双机直联，经测正常，由此可见，故障范围并非在物理链接层，而应当为系统应用层，考虑至此，任何一位技术人员都会想到病毒因素，于是，登录防病毒服务器打开安全控制台，欲以此清除病毒，然控制台已无法访问主服务器，方案失败。在主服务器控制台日志中发现了被感染的WORM_DOWNAD.AD病毒记录，日志显示该病毒未隔离未删除。上网祥查，豁然明朗又十分沉重，明朗的是知道作祟的是什么病毒，深重的是感染WORM_DOWNAD.AD的求救贴比比皆是，完整的解决办法却无一贴，就连趋势科技网站也只是说，可以偿试用第三方软件进行断网查杀。一位网友发了一个这样的帖子：“officescan（趋势防病毒系统）只能发现病毒，无任何其他能力，我们是手动清理的system32\xxx.dll文件的，整了一个礼拜。昨天23点才搞定。——4 月 2 日”足见当事人心情与问题的严重性，好在WORM_DOWNAD.AD病毒只对网络端口攻击，造成网络堵塞，对数据库并没有破坏作用，否则，后果将是灾难性的。

WORM_DOWNAD有一系列的变种病毒，WORM_DOWNAD.AD只是其中一种，据报道近日又出现了WORM_DOWNAD.KK于4月1日开始发作，之前还出现过WORM_DOWNAD.A，该系列病毒通过系统安全弱点展开攻击。以WORM_DOWNAD.AD为例，它便是利用微软MS08-067漏洞进行攻击。今后也许还会出现更多新的变种病毒，只要掌握WORM_DOWNAD.AD的查杀技术，无论遇到WORM_DOWNAD的哪一变种都不会因束手无策而恐慌。

二、 WORM_DOWNAD.AD病毒的清除

通过大量浏览相关资料和技术帖子，笔者反复实践，不断调整后总结简明方法如下：

1、对染毒机断网隔离，用蠕虫专杀工具或其他第三方软件进入安全模式查杀，这里推荐WadKiller趋势一款专杀工具，下载地址：http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/WORM_DOWNAD/Downad专杀工具。

WORM_DOWNAD.AD是蠕虫病毒，如果不断网查杀，其它网内被感染的计算机还会自动攻击该主机或存在漏洞的计算机，只有彻底清除病毒打完补丁后计算机才能入网。另外，在杀毒前应备份好重要数据。

2、用WadKiller杀毒后，重启电脑，更新操作系统补丁。

本院服务器为Windows2003 Server Pack 1,自建网以来从未对其进行过更新，很多重要补丁因为操作系统版本过低而无法安装，于是，在网上下载Windows2003 SP3的最新升级包，将操作系统由Windows2003Server Pack 1更新为Windows2003 Server Pack 3，只有这样系统存在的众多漏洞补丁才被允许安装，例如MS08-067补丁便是如此。

据了解自全省法院建网后，服务器操作系统大多未有更新，不是没外网，就是过多担心网络安全问题，因此，很少有人关心服务器操作系统的升级及是否打上重要补丁。笔者认为，各院同仁应高度重视这一提议，唯有百利而无一害。

3、下载安装MS08-067补丁。下载地址：http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx

4、更新趋势科技病毒码，对本机进行查杀。

按1～3 步骤操作后，主交换机上只连接防病毒服务器（已确定此机无毒）和本机（染毒并以作处理的计算机），这时你会发现本机上的防病毒系统恢复正常，其图标为在线模式，病毒码和引擎也不在为空。此时，立即对其升级，用最新病毒码对系统进行全面查杀，凡感染WORM_DOWNAD.AD病毒的电脑均按上述四步处理上,缺一不可。确保无WORM_DOWNAD病毒后再将其联入主交换机。

前面介绍WORM_DOWNAD.AD为网络蠕虫病毒,如发现一电脑被感染,应当还存在其他被感染的电脑,原因很简单，几乎所有兄弟单位局域网内的电脑配置和运行环境基本相同,所以，当某台计算机中的WORM_DOWNAD.AD病毒发作时，网内一定尚存其他染毒的计算机。以本院为例，当清除主服务器后将所有客户端联入交换机时，主服务器又重新回到故障状态——数据流异常、间断下线，只联主服务器和防病毒服务器便不会出现异常，于是，每联入一条网线测试一次服务器，最终排查出另外一个感染WORM_DOWNAD.AD病毒的计算机工作组在攻击服务器，按照1～4步程序予以处理，全网恢复正常。之后，用趋势安全控制台监测全网三天再未发现异常，WORM_DOWNAD.AD危机终告解除。

回顾整个解决过程有喜悦也有辛酸，从发现病毒到清除病毒用了四整天时间，其中一小部分属技术工作，一大部分属体力工作。其中煎熬想必只有同仁们能体会。

三、 安全策略

综合WORM_DOWNAD.AD病毒特征和在清除病毒过程中的心得，笔者总结出以下行之有效的安全防范策略。

1、加强系统补丁的安装管理

目前，各院对客户端操作系统补丁能够及时升级的可谓甚少，而服务器能及时升级的则少之又少，这对我们信息化的安全埋设着巨大隐患，众所周之，大多病毒或黑客均通过系统漏洞进行攻击和破坏，而客观条件的限制又为我们技术人员升级服务器带来一定困难，因此，对操作系统补丁的升级应当引起我们的共同关注，这是网络安全方面极为重要的工作之一，应力争抓实抓好，不可懈怠。

2、加强USB存储设备的控管

控管USB存储装置，禁用其自动播放功能。随着USB存储装置的大量普及，即方便了工作，也成了病毒散播的通道之一，即便限制了计算机连接Internet，但透过USB装置病毒仍可以攻击其它计算机。

例如，WORM_DOWNAD.AD在感染计算机后会自动搜寻USB装置并植入autorun.inf与病毒档案，只要将中了毒的USB装置拿到其它计算机使用，病毒就可借此感染其它客户端，进而瞬间在局域网内泛滥。因此，建议有选择的禁用自动播放功能，避免装置一插入系统便自动执行病毒档案。这里笔者介绍两种方法：一是在开始→运行→输入“Regedit”，展开注册表到：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explroer主键下，在右边窗口将 “NoDriveTypeAutoRun”的默认键值为十六进制的91，改为95即可禁用USB装置的自动运行功能 ；二是在系统组策略里修改，具体操作：开始→运行→输入“gpedit.msc”→确定→本地计算机策略→计算机配置→管理模板→系统→（右侧）双击“关闭自动播放”→选“已启用”→“所有驱动器”→确定。上述两种方法均可禁止自动播放功能。

客观上讲，我们局域网内约90%以上的病毒是通过USB存储装置传入内网，根本原因是混用工作专用的存储装置所致，即将USB存储装置拿到单位以外的计算机中使用，感染病毒后带回单位使用，便导致局域网内的病毒传播。因此，抓好USB存储装置的管控，养成良好的使用习惯对抑制病毒的传播有着极其重要的意义。

3、加强防病毒硬件设备的建设

随着信息化建设的不断推进，在条件许可的情况下，我们应当加强必要的设备投入，如架设专门的IWSA（趋势防病硬件产品）和其他网关型防毒设备。这些防病毒硬件设备能独立运行防护工作，更为有效的隔离病毒，过滤非法文件和内容，完善网络安全管理。虽然，这些耳目一新的设备尚未进入到我们工作领域，但随着最高法对信息化建设重视程度和投入不断加大，未来我们在安全领域必然会架设一批更为专业的硬件安全防毒设备，为我们的网络提供更加安全稳定的病毒防护体系。

4、及时更新病毒代码和部署全局查杀任务

及时更新病毒服务器上的病毒码，同时，在控制台上部署全局查杀任务，是防止病毒扩散和新型病毒侵害的有效手段。通过全面查杀我们能及时了解局域网内病毒状况，是否存在不能隔离或清除的病毒，如果确实存，我们便可及时寻求更为有效的解决办法，从而避免引发不必要的后果。

5、加强全员安全意识的提升

当前，广大应用人员的安全意识较低，操作不熟练，U盘随意接插等是一个较为普遍的客观现状，只靠杀毒软件进行病毒防护是远远不够的，这一现状的改变并非朝夕之事，而是潜移默化，需长期的点滴培养全员的安全意识才能不断提升，全员安全意识的提升自然会大幅降低病毒入侵的几率，同时，也将大大减轻我们技术人员在信息安全方面的压力。

综上所述，在施以技术方案加以限制和治理病毒传播的同时，应当加强制度建设和从业人员的意识培养，内外兼修，配套实施，我们的安全防御工作才会卓有成效。

泥埂人