NGAF反僵尸网络软件
版本:4.2
查杀PC机是否感染了僵尸网络病毒,检查当前网络环境是否已经沦为僵尸网络。NGAF反僵尸网络软件是一款简单易用的 PC端软件,绿色无需安装,无需繁杂的配置,专业查杀僵尸网络病毒。
下载软件适应平台:Windows XP / Windows Vista / Windows 7 / Windows 8
什么是僵尸网络?
Botnet也被称作僵尸网络,是许多台被恶意代码感染、控制的与互联网相连接的计算机。
感染恶意代码的计算机能够被黑客远程控制,而主人还被蒙在鼓里呢。没有安装适当的反病毒和防火墙软件的计算机
最容易受到感染而成为botnet的一部分。
Botnet被计算机犯罪分子用来发送垃圾邮件、传播计算机病毒、发动拒绝服务攻击。
危害
PC被攻陷后沦为C&C僵尸网络环境,黑客以此为跳板利用各种攻击对内网进行渗透,获取服务控制权,从而盗取、篡改客户的重要信息。
长期被控制的肉鸡会利用C&C命令持续做出危害企业安全的行为。具体表现在:
1.对个人:个人账号被盗取、PC乱弹广告、个人隐私泄漏
2.对企业:数据被长期有针对性地窃取、内网被控制、成为对外攻击的跳板
3.对国家:敏感信息被收集、机密被获取与破坏、国家安全受威胁
解决方案
1.首先根据数据中心APT日志里面的源IP找到中毒的IP
2.下载NGAF反僵尸网络软件,发给中毒IP,依次在中毒PC上运行,观察查杀结果。如果NGAF反僵尸网络软件杀不出来,继续使用第三方的Emsisoft Emergency Kit(加入链接) 进行查杀。
3.如果以上两个依然杀不出来,则很可能是非常顽固的蠕虫病毒变种,请使用蠕虫病毒对应的工具进行查杀。如果全部工具都杀不出来,请联系深信服技术支持。
典型案例:飞客蠕虫
1
200.200.194.4(Server 2003): 这是一个多次查杀均无结果的IP,2014年9月份,根据某公司防火墙出口日志,检验中毒情况如下:
| IP地址 | 部门 | 用户 | 操作系统 | 杀毒结果 |
|---|---|---|---|---|
| 200.200.194.210 | 某部门 | 赖某 | Win2003 | 杀出病毒 |
| 200.200.194.4 | 某部门 | 赖某 | Win2003 | 未杀出 |
2014年12月22日,再次使用多个杀毒软件(主要是Emsisoft Emergency Kit与Nod32),均没有在200.200.194.4上查出病毒
2
观察此公司防火墙网关日志,发现200.200.194.4、200.200.194.210报毒时间相隔很短
3
怀疑二者有关联,在200.200.194.4上抓包,发现这两个IP有很多通信
经分析,发现有大量的139和445端口连接,初步断定中了飞客蠕虫,怀疑是飞客蠕虫把杀毒软件病毒库的自动更新功能给劫持了,所以杀不出来
4
手动在网上下载Nod32病毒库升级包,成功杀出飞客蠕虫
结论:
飞客蠕虫在局域网内可以相互感染与传播,只是清除了200.200.194.4的蠕虫病毒,不久200.200.194.210的蠕虫病毒又会传染过来,所以,会出现网关多次报毒。
观察上图左上角,可以发现,200.200.194.4除了安装了Nod32杀毒软件,还安装了360杀毒软件,防御等级还是比较高的,可见此蠕虫变种还是比较顽固的。此外,为防止再次被飞客蠕虫感染,最好打上MS08-067漏洞补丁包。
MS08-067各个版本补丁:http://blog.csdn.net/netcoder/article/details/3502873
其他工具
Emsisoft Emergency Kit
版本:9.0.0.4523
这是第三方公司Emsisoft提供的本地查杀工具,在网络异常情况下,可以作为NGAF反僵尸网络软件的替代工具, 在一定程度上,同样可以有效查杀僵尸网络病毒。
下载软件适应平台:Windows XP, Vista, 7 & 8