揪出藏匿局域网的毒“熊猫”
网络安全
杀毒软件无法打开;任务管理器无法调出;间歇性的重启;可执行文件无法执行,同时,图标变成熊猫烧香的样子。你的电脑出现以上症状吗?如果有,那么不幸地告诉你,你的电脑中了熊猫烧香病毒了。以上还不是最让你头疼的,熊猫烧香病毒最让人崩溃的地方是,当你以为使用杀毒软件和专杀工具清除了系统中的病毒就万事大吉后,系统又被藏在网络中的熊猫烧香病毒感染了。要根除熊猫烧香病毒对我们的威胁,则应该将藏匿在局域网熊猫烧香病毒全面铲除,彻底端掉熊猫烧香病毒的老窝。
危害巨大的熊猫烧香
熊猫烧香病毒是今年开始以来,最泛滥、最顽固的病毒之一。特别是它可以造成局域网中断,并干扰局域网中的其他电脑,病毒像瘟疫一样快速蔓延。近段时间,熊猫烧香病毒正处于急速变种期,仅去年11月份至今,变种数量已达10几种,变种速度之快,影响范围之广,与2006年横行于局域网的维金病毒不相上下。
这款病毒是现在破坏力最大的病毒,用户的电脑一旦感染,该病毒就会立刻删除用于备份的.GHO文件,感染.EXE文件,破坏硬盘数据,频繁引发系统蓝屏和重启;同时,还会尝试通过多种方式传染局域网内的其他电脑,不断对所在的局域网展开DDoS攻击,导致网络中断,可谓凶相毕露。
小提示:.GHO文件是由赛门铁克公司的Ghost软件对整个分区或分区内部分重要文件进行备份所产生的镜像文件,我们可以把它看作是广大电脑爱好者非常重要的一条防线。.GHO文件被删除意味着快速恢复的捷径已经被堵死了。
其实,类似这样带有网络攻击性质的病毒,以前我们已经见过不少,像是红色代码、Nimda、冲击波以及震荡波等等。它们都有两个共同的特点,一是严重阻塞网络,甚至引起局域网与外网间的通讯中断;二是网络上病毒传播迅速,难于清除。
虽然说起来很简单,但这类病毒的查杀着实让人有点头痛。单机用户还好办,如果留意,总可以从病毒爆发时的一些表征做出判断,杀不了至少还可以格式化嘛。
但对负责几十上百台电脑的网管来说,就有点郁闷了,莫明其妙的突然性断网总是挥之不去,很多时候甚至无法找到究竟是哪台电脑出了问题。即便偶尔发现了毒源,也是“杀”了没多久又再次复发,无法根治。究竟有没有更好的处理办法呢?我们这就一起来一步一步地消灭熊猫烧香病毒。
辨别断网原因
引起局域网与外网间通讯中断的因素,如果排除掉ISP运营商和外网攻击的可能性,那问题多半就在局域网内部。最常见的因素有三:
一、网络拥塞,比如有用户大量使用BT等P2P软件抢占带宽,就会影响其他人的正常使用。
二、网络硬件有故障,如交换机的某几个接口模块损坏,无法正常收发数据包也会造成网络阻塞。
三、病毒引起的断网,常见的有DDoS(或DoS)攻击和ARP攻击。
前两类故障的甄别都有相应的方法可以做到,但离题太远我们这里不做描述,我们只分析病毒引起的断网故障。
DDoS攻击是在DoS攻击的基础上借助客户/服务器技术(图1),将多个计算机联合起来作为攻击平台,对目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。一般病毒在局域网内发起此类攻击时,表现为网络中充斥着大量无用的数据包,网络阻塞,局域网用户ping路由网关会严重掉包。
小知识:DoS又叫拒绝服务,是Denial of Service的简称,DoS攻击简单说就是使计算机或网络无法提供正常服务的一种攻击方式。通常DoS攻击可分为计算机网络带宽攻击和连通性攻击两种。
接下来就是ARP攻击,这种攻击有多种方式,ARP欺骗可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信,另外MAC Flooding和基于ARP的DoS攻击都可以引发网络通讯中断。
其中基于ARP的DoS攻击很有欺骗性,在被攻击主机上不会出现真实的IP。此类病毒发作时,中毒的机器会伪造某台电脑的MAC地址,如果该伪造地址为网关服务器的地址,就会对整个局域网造成影响,出现不规律的断网,但在一定时间内可能又会恢复(图2)。同时也可能伴随着ping路由网关严重掉包,访问外网速度严重受阻等情况。
小知识:ARP是地址解析协议,基本功能是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信顺利进行。
找出躲在局域网中的毒源
网管使用的方法:用网络设备找出毒源
知道了病毒作怪的原理,查找毒源的工作就会变得相对容易起来。首先,可以把局域网内的交换机和路由器都关掉,等几分钟后再重新接通电源,观察网络是否恢复正常。
接着,进入路由器,检查NAT的连接数量。一些病毒会在很短时间内,发出大量针对不同IP的连接请求,这样路由器便不得不建立相应数量的NAT连接。
小知识:所谓NAT(图3),又叫网络IP地址转换表。局域网内电脑访问外网的时候,在路由器内部建立的一个对应列表,列表中包含电脑在局域网内IP地址、访问的外部IP地址,内部IP端口,访问目的IP端口等信息。
最后使用Telnet命令进入路由器,用类似“show arp”的命令列出arp表,如果局域网内ARP病毒发作,有可能看到部分IP对应的MAC地址是一样的,那么这些相同的MAC地址就是病毒主机网卡的MAC地址。如果有“用户——IP——MAC”映射表最好不过,没有也可以根据IP逐个排查。
例如:网管在查看NAT连接表的时候,发现IP地址为192.168.0.23的电脑不断使用一些非常规端口,比如9877这类端口,不断向局域网中的其他IP发起连接请求。或者,发现连接数量非常多的电脑,它们就很值得怀疑,十有八九这台电脑就是局域网中的毒源。
一般用户使用的方法:用抓包工具找出病毒
如果你的路由器比较简陋,也可以用抓包软件来进行相应的检测。先找台性能较好的电脑装上抓包软件,如Ethereal、Sniffer Pro等,IP地址设置为路由器IP,同时拔掉路由器,开始抓包(图4)。
观察局域网中的电脑都向外面发送了什么包,如果发现某台电脑向外发送大量目的IP是连续的包,且速度很快的话,很可能它中了蠕虫病毒。同时观察ARP包,不同IP的MAC地址如有相同,则使用该MAC地址对应网卡的电脑中了ARP病毒。
跨网段则麻烦一点,ARP包是由网关转发,这就得确定是哪个网关发送的,然后再到该网关的网段内查找病毒主机。
例如:我们使用Ethereal抓包,发现IP为192.168.126.128这台电脑不断向其他IP发送连续的数据包,并且间隔时间很短,那么这台电脑就可能是毒源。如果再发现,这台电脑的MAC地址和局域网中的其他电脑的MAC地址相同,那么我们就可以判断,这台电脑肯定就是“毒源”。
全歼网络中的病毒
上面介绍了查找网络病毒的方法。但是对付熊猫烧香病毒的难处不在于发现,而在于根除。我们在第一期《电脑报》中已经详细介绍了清除熊猫烧香病毒的方法,这里就不再详细说明,只提出在清除病毒中应该注意的事项。
该病毒感染一台电脑之后,会开启一个线程进行C类网络扫描,访问同网段的139和445端口,进行IPC$密码猜解和查找共享,传染共享中的文件。这样只要网络内有一个电脑还有存活的熊猫烧香病毒,就依然存在再次感染全网的可能。
而IE的漏洞更是加剧了熊猫烧香病毒的蔓延,只要浏览挂了熊猫烧香病毒的网站,病毒就会再次卷土重来。
因此,无论何种情况,找到已经染毒的电脑后,最重要的不是立刻杀毒,而是将它从局域网上断开,并对剩下没有传染上的电脑打补丁,升级病毒库,取消本地共享目录,对局域网内的文件共享服务器、电影服务器等也要设置更为难以破解的密码和增加保护措施。总之必须首先确保未染毒电脑的安全。
接下来才是集中精力对付那些中毒的电脑。熊猫烧香病毒现在已经有多个变种,其中最厉害的是它一旦感染系统之后,就会关闭一切可能对抗它的杀毒软件和工具软件,就连Windows任务管理器和注册表编辑器也不例外。甚至不少杀毒软件厂商针对较早版本熊猫烧香病毒制作的专杀工具也倒在其变种之下,毒性之强可见一斑。
对付变种的一个办法是使用不被关闭的进程管理工具,比如X-PS,关掉诸如:spoclsv.exe、devgt.exe、iexpl0re.EXE、SVCHQST.EXE、iexplore.exe、iedw.exe、svohost.exe、sxs.exe、llssrv.exe、qdoxjq.exe等进程。
另一种方法是在安全模式下,打开“开始”菜单→“运行”对话框→执行“taskkill /im 文件名 /f”命令,将其中的“文件名”几个字换成前面提到的文件名称,也可以关掉熊猫烧香病毒的相关进程。
然后用瑞星、超级巡警等杀毒软件厂商提供的最新版专杀工具进行查杀。接着重新安装杀毒软件,用最新离线升级包更新病毒库,全面杀毒,并安装各类补丁,尤其是IE的补丁。一般来说,如此操作都可以将熊猫烧香病毒绞杀掉。