W32.Downedup.B顽固病毒——查杀记

W32.Downedup.B顽固病毒——查杀记：前因后果

Dec 20.2011

　　这几天的我，埋头忙碌于处理这么一件事——近来被一个名为W32.Downedup.B顽固病毒折腾了一段时间，弄得新上线的电脑出现一些系统莫名其妙的死机、Symantec防病毒软件SEP不断地弹出病毒报告对话框，大大影响许多同事的工作，同时也给他们带来许多恐慌。

　

　　

　　其实一开始，我们面对这状况，不太重视，导致越来越的同事反映新电脑系统慢得惊人，而且经常死机。顶头上司IT主管和我才重视起来。

　　后来，经过一些常规手段的处理和特殊方法的解决，才慢慢地将这个说大不大，说小不小的问题，给解决了。

　　原来这是利用微软MS08-067漏洞传播的病毒，需要给系统打上MS08-067补丁，而这个MS08-067漏洞针对139、445端口的RPC服务进行***的漏洞，可以直接获取系统控制权，并可运行任意代码，如果利用漏洞的尝试失败，这还会导致Svchost.exe 的崩溃。

        从百度百科中可以了解到：

 

        安全漏洞 (security hole)

　　受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。漏洞是硬件软件或使用策略上的缺陷，他们会使计算机遭受病毒和******。

 

　　 整个事情的前因后果，我觉得有必要记录一下，一方面方便自己理清思路，积累一点病毒查杀经验，提醒自己得重视病毒防护工作，另一方面也是为了给以后有需要帮助的人提供一点帮助——

      2011年底，我所在的公司，例行的——都是将一批旧电脑替换上一批新电脑，笔记本电脑是三年可申请换一次，而台式电脑则是五年换一次。

　　这一次，总共来了八台Lenovo Thinkpad T420、一台Lenovo Thinkpad X220、两部台式电脑HP DC8000。

　　其实，做的工作很简单，跟我之前写的那篇博文《三天混战“网工”生活》（ http://2518492.blog.51cto.com/2508492/476823）描述的差不多，只要细心一些，都能配合许多同事顺利地用上新电脑。

　　而这一回，我的具体工作却多了一些，也算是多了一些主导权吧。其中有一个原因则是我的顶头上司IT主管忙碌于公司新ERP系统SAP的一系列工作事务以及2012年工厂二期网络项目的预备工作。

　　从而，将新电脑上线一些杂七杂八的事情，全部交付给我——

　　记得去年已经有了一次大规模旧电脑换新电脑的工作经验了，总共换了12部台式电脑和三台笔记本电脑，前前后后忙碌了三天。

　　因为有了一次经历，这一次的工作不算复杂，做起来，熟悉得很。

　　1,事先作好两份Excel文档，方便整理信息，一份名为：《New Computer》，另一份名为：《Managing Computer》，其中详细记录新旧电脑的信息，如：用户中文名、英文名、型号、配置、序列号、日期、计算机名称、原固定资产编号、旧电脑处理情况、存放位置。

　　2,在域控服务器上添加新计算机，填写详细的“描述（Description）”信息，如：用户英文名、固定资产编号、序列号、办公位置。

　　3,在文档《PC Inventory》中详细记录新旧计算机的信息，需要注意的是，几项信息需要填写清楚，如：计算机名、型号、购入时间、固定资产编号、使用者。

　　就这样，一边处理新旧电脑的替换工作，一边整理信息，以有利于以后的统一管理。

　　新电脑上线了，本以为平平静静地工作了，没想到，问题却来了，只因这一个W32.Downedup.B顽固病毒。

　　因为我们IT部门只有两个人，而我，作为IT主管的下属，其实有许多与公司里同事打交道的工作都是由我来负责和交流。

　　这几天，好不安宁呀——

　　病毒来了，同事怨声载道……“什么时候弄好我的系统呀”、“这个叫什么的病毒弄得系统经常死机”……

　　病毒来了，上司紧急下令……“我们得认真对待这个事件”、“将处理好这个病毒的事件排到优先级第一的位置”……

　　于是，我的病毒查杀历程开始了——

　　一面，安抚好办公电脑出问题的同事：别担心！会有解决的办法的！利用Symantec防病毒软件查杀，无论是正常模式还是安全模式，通通尝试……

　　另一面，则写邮件和IT主管Steven沟通，共同商量对策。

　　昨天，我在51cto论坛“病毒查杀”板块中，发了一个贴子《困扰中——W32.Downedup.B顽固病毒~》（ http://bbs.51cto.com/thread-904330-1.html），寻求帮助。

　　昨晚，一位版主redhat9i ，汤师傅，应该是安全高手，指点了一下，字数虽不多，字字珠玑！十分感谢这位版主的指点！

　　 这是利用微软MS08-067漏洞传播的病毒，也被称为飞客或confker病毒，需要给系统打上MS08-067补丁，之前本版也有很多帖子说明，你搜索一下吧。

　　第二天，我到公司上班，几台电脑的病毒查杀问题就解决了——

　　我用两封邮件的内容来说明一下病毒查杀的结果：

 

　　【一封给IT主管Steven的邮件】

主题为：W32.Downedup.B顽固病毒－－解决措施

附件为：病毒清除工具

Steven,

这几天，我在不同的笔记本电脑采用不同的方式处理这个顽固病毒——

１，因为SEP总是弹出报告，采用该蠕虫病毒的专杀工具（W32.Downadup Removal Tool）清除了，过一段时间，系统里的防病毒软件弹出报告。我认真看了一下，报告的内容大多显示感染的位置是系统盘的临时文件或缓存文件。

２，再次在安全模式下用SEP扫描之后，重启电脑，还是会弹出报告。

最后，我针对这个问题，到微软帮助与支持（ http://support.microsoft.com/kb/958644 ）网站、技术网站（ http://tech.ccidnet.com/art/1099/20081027/1599951_1.html ）有关病毒防护的网站搜索资料，

了解得知——W32.Downedup.B　顽固病毒

这是一个利用微软MS08-067漏洞传播的病毒，也被称为飞客或confker病毒，

如果成功利用该漏洞的远程***者，可能会利用此问题危及基于Microsoft Windows系统的安全，并获取对该系统的控制权。

如果利用漏洞的尝试失败，这还会导致Svchost.exe 的崩溃。

该安全漏洞可能允许远程执行代码，如果受影响的系统收到了特制伪造的RPC请求。在Microsoft Windows 2000、Windows XP和Windows Server 2003系统，***者可以利用此漏洞无需通过认证运行任意代码。

这个漏洞还可能被蠕虫利用，此安全漏洞可以通过恶意构造的网络包直接发起***，并且***者可以获取完整权限，因此该漏洞很可能会被用于制作蠕虫以进行大规模的***。

最后，针对处理这个W32.Downedup.B顽固病毒采取的解决方案——

１，需要给新上线的笔记本T420的系统安装一个MS08-067安全补丁（我已经下载一个英文版OS版本的补丁）

２，采用该蠕虫病毒的专杀工具（W32.Downadup Removal Tool）

３，在安全模式用Symantec防病毒软件进行全盘扫描，彻底清除该病毒。

综上所述，采取措施之后，龙岗工厂部分电脑，已经没有病毒报告显示在系统里了。

过一段时间，再看一看系统的运行状况，是否运行正常？是否得到彻底解决？还有没有死机的现象？

静观其变，再商对策。

 

　　　【IT主管Steven回复的邮件】

 

Andy,<?xml:namespace prefix = o />

 

你有了很大的进步～～～

 

 

　　　【一封给诸同事的邮件】

主题：W32.Downedup.B顽固病毒－－解决方法

Dear all,

　　近来，新上线的一些电脑，其中包括： HP 台式电脑、 Lenovo T420 笔记本电脑，部分电脑有可能感染了一种病毒，名为： W32.Downedup.B 的蠕虫病毒。

　　由于 Symantec 防病毒软件总是弹出病毒报告，给你们的工作带来许多不便之处，我们 IS 部门没有及时解决，敬请谅解。

　　如果你现在用的新电脑，系统中运行的 Symantec 防病毒软件有弹出相关的病毒报告或者系统运行状况不正常的，请及时联系我。

　　为了消除这个安全隐患，让操作系统更加良好地运行，方便你们的工作。

　　我们会对已经感染的或潜在感染 W32.Downedup.B 顽固病毒的电脑，采取一些应对措施 ——

 

１，先简单介绍一下

W32.Downedup.B 　顽固病毒

这是一个利用微软 MS08-067 安全漏洞传播的病毒，也被称为飞客或 confker 病毒，

该安全漏洞可能允许远程执行代码，如果受影响的系统收到了特制伪造的 RPC 请求。在 Microsoft Windows 2000 、 Windows XP 和 Windows Server 2003 系统，***者可以利用此漏洞无需通过认证运行任意代码。

这个漏洞还可能被蠕虫利用（有可能涉及到这个 W32.Downedup.B 顽固病毒） ，此安全漏洞可以通过恶意构造的网络包直接发起***，并且***者可以获取完整权限，因此该漏洞很可能会被用于制作蠕虫以进行大规模的***。

２，我们 IS 部门将采取的解决措施

针对处理这个 W32.Downedup.B 顽固病毒采取的解决方案 ——

１，需要给新上线的电脑的系统安装一个 MS08-067 安全补丁（我已经下载一个英文版 OS 版本的补丁）

２，采用该蠕虫病毒的专杀工具（ W32.Downadup Removal Tool ）查杀病毒

３，在安全模式用 Symantec 防病毒软件进行全盘扫描，彻底清除该病毒。

 

针对部分感染的电脑，采取这些措施之后，龙岗工厂部分电脑，已经没有病毒报告显示在系统里了。

过一段时间，再看一看系统的运行状况，是否运行正常？是否得到彻底解决？还有没有死机的现象？

静观其变，再商对策。

有什么 IT 问题，需要帮忙的，请及时联系我。

 

 

     【其中一位同事Julia回复的邮件】

 

病毒的克星―― IS 。。。

我还认为是我的人品有问题呢？怎么什么电脑到我手里都死机，终于清白啦！

 

 

 

 

转载于:https://blog.51cto.com/zxgchinese/746448