近来，威金 (w32.looked 系列 ) 、熊猫烧香（ w32.fujacks 系列）等局域网蠕虫病毒大肆流行，这种病毒具有传播速度快，覆盖面广，破坏性大，自我恢复功能强等特点，并且还会自动连接到 Internet 升级变种并下载其它木马和恶意软件，给广大计算机用户带来了很大的麻烦。

良好的基本安全习惯配合具有最新病毒定义和扫描引擎的杀毒软件，能够最大限度地保护您的电脑不受此类蠕虫病毒的影响，以及重复感染。了解蠕虫病毒的在局域网内传播机制，能让我们采用更有针对性的防护，下面就介绍这种局域网蠕虫的传播机制和保护方法。

假设您局域网中有一台电脑感染了蠕虫，而这台脑又没有安装杀毒软件或者杀毒软件的病毒定义比较旧，没有办法检测出这个蠕虫病毒，那么它就会成为一个局域网内的攻击源。局域网蠕虫的传播安先后顺序分为扫描、攻击、复制三个过程。

第一步：扫描的过程就是用扫描器扫描主机，探测主机的操作系统类型、版本，主机名，用户名，开放的端口，开放的服务，开放的服务器软件版本等。 这一过程中，扫描的范围一般是随机选取某一段 IP 地址，然后对这一地址段上的主机扫描。但是有些蠕虫会不断的重复扫描过程，就会造成发送大量的数据包，造成网络拥塞，影响网络通信速度等危害。但是这样，管理员也会很快找出感染源所在的地址，因此有些蠕虫会有意的减少数据发送量，包括不重复扫描几次以上，随机选择扫描时间段，随机选择小段 IP 地址段等等。根据扫描返回的结果确定可以攻击的电脑。

第二步：攻击的过程一般分为两种类型。一种是利用漏洞的攻击，如果扫描返回的操作系统信息或者某些软件的信息是具有漏洞的版本，那么就可以直接用对该漏洞的攻击代码获得相应的权限。例如利用 windows 的 MS04-011 漏洞的震荡波（ w32.sasser 系列）病毒，利用 MS06-040 漏洞的魔鬼波（ w32.ircbot 系列）等。另外一种就是基于文件共享和弱密钥的功击，这种攻击需要根据搜集的信息试探猜测用户密码，一般的蠕虫都有试探空密码，简单密码，与已知密码相同密码等机制。猜出正确的密码后也就有了对远端主机的控制权。威金、熊猫烧香等病毒都基于这种攻击方式。

第三步：复制的实际上就是一个文件传输的过程，就是用相应的文件传输的协议和端口进行网络传输。

为了防止您的电脑受到局域网蠕虫病毒的攻击而感染此类病毒，赛门铁克现建议用户采取以下基本安全措施：

•  开启个人防火墙：无论是 SCS 的防火墙，还是其它安全厂商的个人防火墙，还是 windows 系统自带的防火墙，都可以对扫描、攻击、复制三个过程起到保护的作用。例如，在一般的默认规则下，供击者扫描后不会得到返回结果；攻击代码不会到达被防火墙保护的电脑；无法向被防火墙保护的电脑复制病毒文件等。如果管理员根据公司的应用情况和针对某类病毒，设定诸如一些协议、端口、程序、入侵检测等的防护规则，其防护效果就会更佳。

•  尽量关闭不需要的文件共享。除了用户自行设定的共享文件

•  windows 操作系统一般都有 C$, D$,ADMIN$, IPC$ 等默认的共享，而一般情况下普通用户不一定需要用到这些共享。如果把这些共享属性去掉，或者只开放只读权限，那么病毒文件就无法复制到本地。

•  强制执行密码策略。检查本机所使用的账户，删除不需要的账户。对于必需的账户使用复杂的密码，不要使用与它人相同的密码。尤其是域用户，需要对本机的管理员账户设定强密码。

•  及时打上所有操作系统的安全补丁，以及其它软件的安全补丁，例如打上微软的针对震荡波（ w32.sasser ）的 MS04-011 补丁，以阻止基于漏洞的攻击。

•  对于一些比较重要的电脑，有必要经常作一些维护工作。例如定期检查服务、进程、注册表中是否有可疑项。并关闭或删除不需要的服务或者启动项。默认情况下，许多操作系统会安装不危险的辅助服务，如 FTP 客户端、 Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了蠕虫用于攻击的途径，并且在补丁程序更新时也减少了需要维护的服务。

•  对于已经受到感染，并确认是感染源的电脑，有必要把它从网络中隔离，以防止其进一步感染其它的电脑。进行杀毒以后，再放到局域网中。

•  教育员工不要打开来路不明的邮件附件，也不要执行从 Internet 下载后未经病毒扫描的软件，或者访问可疑的网页，对于移动硬盘等，需要先进型病毒扫描后打开。事实上，局域网内的第一台受感染的电脑往往是通过这些渠道感染病毒的。例如，熊猫烧香的病毒就可以通过受感染 Internet 网页和移动硬盘的自动播放属性来传染电脑。

•  针对主机和关健的应用系统，提供深层次的保护。例如主机入侵检测和关键系统的实时防护。

 

 

病毒的感染和清除

以近期爆发的 W32.Fujacks.AW 为例来介绍一下病毒的感染机制和清除过程

•  病毒名称 :W32.Fujacks.AW

•  病毒感染过程

•  W32.Fujacks.Aw 就是一个利用网络共享来进行自我复制传播的蠕虫病毒 , 该病毒会自动复制自己到所有分区的根目录下并且感染本地计算机所有 EXE 文件 , 并且会终止一些防病毒软件的进程 ,

•  病毒获得执行后会自动释放自己到 Windows 目录下 , 文件名为 ati3evx.exe, 所有驱动器的根目录下会释放 pif.exe 文件 , 所有的可移动设备 (U 盘 ) 会在根目录下生成 autorun.inf 文件 ,

•  修改注册表添加自动运行键值

•  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"logo1_.exe" = "C:\WINDOWS\ati3evx.exe"

•  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"logo1_.exe" = "C:\WINDOWS\ati3evx.exe"

•  蠕虫会自动尝试终止下列进程逃避防病毒软件

•  ravmon.exe

•  Ravtask.exe

•  Ravmon.exe

•  Mcshield.exe

•  VsTskMgr.exe

•  naPrdMgr.exe

•  UpdaterUI.exe

•  TBMon.exe

•  RavmonD.exe

•  TrojDie.kxp

•  FrogAgent.exe

•  Rundll32.exe

•  system32\drivers\spoclsv.exe

•  该病毒会自动通过网络从 Internet 病毒源网站下载病毒文件

•  解决方案

•  通过 Symantec Liveupdate 再现更新病毒定义

•  断开网络连接

•  关闭系统还原 , 防止病毒文件驻留系统还原文件内导致无法清除

•  关于系统还原功能如何关闭请参考微软 KB

•  http://support.microsoft.com/default.aspx/kb/263455

•  重启动计算机进入安全模式进行全盘扫描进行杀毒

•  由于病毒文件在注册表中留有调用的注册键值 , 这样重启动计算机后会有错误提示 , 报找不到文件

•  手动修改注册表 , 删除这两个键值

•  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"ati3evx.exe" = "C:\WINDOWS\ati3evx.exe"

•  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"ati3evx.exe" = "C:\WINDOWS\ati3evx.exe"