局域网雨云蠕虫病毒的处理

最近跳槽换了家单位，300多台pc，2台文件共享服务器Server。PC的操作系统大部分是win7，少量是xp，Server的操作系统均为win2008 server R2，在Server上共享用户为everyone，共享和安全权限为完全控制。网络设备张核心为华为S5348，但是未做任何配置，其他交换机使用的D-LINK 1024D或者1024T，清一色傻瓜式交换机。300多台电脑位于同一个广播域，ip地址范围是192.168.1.0一直到192.168.6.0，但是子网掩码是255.255.248.0。共享服务器被大部分设备使用，只要有一台电脑中了蠕虫，服务器肯定有蠕虫。

        雨云蠕虫病毒的分布情况如下：

         1、10台电脑左右运行着蠕虫病毒，其表现为任务管理器中有wscript.exe，在桌面上有名为yuyun_ca的图标，并且无法删除。这10台的危害性非常大，只要其中的任何一台访问其他电脑上的共享文件夹或者被别人访问，都会导致其他的电脑产生隐患文件，如果条件具备，其他电脑也会运行蠕虫病毒。

         

         2、290台pc和server具有蠕虫运行隐患的文件，表现为一定具有的三个文件：隐藏文件autorun.inf、非隐藏文件夹microsoft、非隐藏文件Thumb.db。这290台pc本身不运行蠕虫病毒，只是存在隐患。autorun.inf的文件内容如下：

          3、电脑安装的杀毒软件有以下几种：大部分免费的企业版360安全卫士和360杀毒，一部分个人版360安全卫士和360杀毒，一小部分免费的金山卫士和百度杀毒，极个别的免费版瑞星、破解版卡巴斯基。所有的电脑在使用上述杀毒软件进行手动扫描隐患文件的情况下，均无任何告警和隔离、删除动作。

           4、使用网上的雨云专杀批处理命令，杀完后，一旦被运行着蠕虫病毒的电脑访问，又会产生隐患文件。该方法只适用于单台电脑，不适合蠕虫病毒泛滥的大中型局域网。雨云专杀批处理命令如下：

*******************************批处理开始******************************

@echo off
Echo 程序先中止wscript.exe
tskill wscript
ECHO 程序正在搜索和删除Yuyun蠕虫藏身的thumb.db和database.mdb文件
del thumb.db /f /q /s /ah
del database.mdb /f /q /s /ah
echo 程序正在寻找和删除Yuyun蠕虫生成的的快捷方式
for /r %%a in (*.lnk) do ( findstr /m /ilc:"wscript" "%%a" ) && del /q /f "%%a"
echo 程序正在寻找和删除Yuyun蠕虫留下的隐藏autorun.inf文件
for /r %%a in (autorun.inf) do ( findstr /m /ilc:"wscript" "%%a" ) && del /q /f /ah "%%a"
echo 程序正在寻找和删除Yuyun蠕虫留下的RTF说明文件
for /r %%a in (*.rtf) do ( findstr /m /ilc:"yuyun" "%%a" ) && del /q /f "%%a"

*******************************批处理结束******************************

       5、10台的苹果电脑处于双系统模式下，无法短时间内判断是否运行着蠕虫病毒。

 

        综合分析该病毒的作用原理和我单位的实际情况，采用了如下的措施循序渐进的解决：

       1、采购收费的网络版杀毒软件，在所有的pc机上安装，安装完成后手动扫描一遍。此一步是确保自身不在运行蠕虫病毒和删除隐患文件；

       2、在所有的pc机上，开启实时防护功能。这一步是防止把具有隐患的文件拷贝到本地；

       3、在所有的server上，安装杀毒软件，注意不要开启实时防护功能，除非已经确保局域网内的pc机均安装了杀毒软件。之所以这样做由于在运行着病毒的客户端通过共享或者映射网络驱动器来访问服务器时，这些客户端会不停的往服务器上放隐患文件，导致服务器上的杀毒软件忙于杀毒，而导致死机，因为服务器删除后，客户端又会上传。

        4、当大部分客户端安装了杀毒软件，而隐患文件时不时的会出现但是没有以前频繁，这说明极个别电脑没有安装杀毒软件。此时借助于Windows Server 2008服务器操作系统自带的共享文件审核功能，以便于定位是哪台电脑还有雨云病毒，操作如下：

        首先依次单击Windows Server 2008服务器系统桌面上的“开始”、“设置”、“控制面板”选项，打开对应系统的控制面板窗口，用鼠标双击其中的“管理工具”图标，进入管理工具列表界面；

        其次用鼠标双击该界面中的“本地安全策略”图标，弹出对应系统的本地安全策略编辑界面，将鼠标定位于该界面左侧位置处的“本地策略”分支项目上，再从目标分支下面依次选中“审核策略”、“审核对象访问”选项，之后用鼠标右键单击该选项，并执行快捷菜单中的“属性”命令，弹出如图1所示的审核对象访问属性设置对话框；

将该对话框中的“成功”复选项选中，同时单击“确定”按钮，这样一来针对共享文件夹访问操作的审核功能就被启用成功了，日后我们通过网络或在本地修改、删除Windows Server 2008服务器系统中的共享内容时，对应系统的事件查看器程序就会将这些操作记录自动记忆保存下来。

         5、经过上一步的查漏补缺，观察一天服务器的动向，没有隐患文件产生，开启实时防护功能。

         6、定义pc和server的定时扫描功能，多一重安全保障。

         7、进入注册表 搜寻“111111”找到 两个{1111111-2222-3333-4444-555555555555}  ，删除并返回桌面刷新。这一步是清除桌面上前期不能删除的图标yuyun_cantix。

 

 

本文参考如下文档：

删除图标yuyun_cantix：http://wangtao0122.blog.163.com/blog/static/18779322015140250288/

设置共享文件审核功能：http://jingyan.baidu.com/article/63acb44afb222561fcc17e03.html

云雨专杀批处理命令：http://blog.sina.com.cn/s/blog_7222a4dc0101r2mu.html