局域网中常见的蠕虫病毒攻击快速诊断和解决方法

冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗，是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。我爱贵溪? Hf,v |O
    这几种病毒发作时，非常消耗局域网和接入设备的资源，造用户上网变得很慢或者不能上网。下面就来介绍一下，怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒，以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。
m6D'EwI3U~N0冲击波/震荡波病毒我爱贵溪y9MyLK
【故障现象】我爱贵溪 K^G.z:CI&N
Q
    感染此类病毒的计算机和网络的共同点：我爱贵溪
HE!yo^3r
　　1、不断重新启动计算机或者莫名其妙的死机；我爱贵溪s ^C*O%S lP B
　　2、大量消耗系统资源，导致windows操作系统速度极慢；
)qh^ R9[8a X0　　3、中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。
*e CYO-{ gX0    造成局域网内所有人网速变慢直至无法上网。我爱贵溪 S8j$dVj
    局域网的主机在感染冲击波、震荡波及其变种病毒之后，会向外部网络发出大量的数据包，以查找其他开放了这些端口的主机进行传播，常见的端口有：
$zZLdDS-Ph0TCP 135端口（常见）；TCP 139端口（常见）；TCP 445端口（常见）；TCP 1025端口（常见）；TCP 4444端口；TCP 5554端口；TCP 9996端口；UDP 69端口… …
pG+u@D3E@1b0【解决办法】我爱贵溪ZcaT UsP0\}
1、 将中病毒的主机从内网断开，杀毒，安装微软提供的相关Windows的补丁。
i+sIzLH]02、 在安全网关上关闭该病毒向外发包的相关端口。我爱贵溪S`Cwo
SQL蠕虫病毒
CsEAH3U(I3_0【故障现象】我爱贵溪F`!? w&Y\|
    SQL是蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口，它会试图在SQL Server系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。
TB}.T P)L0    此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成，这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将SQL管理员密码改为一由四个随机字母组成的字符串。我爱贵溪+pK%h`
\
    中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。我爱贵溪}4F3_{+kQp+Wg
【解决办法】
AI1W%\v8J^_)f8_01、 将中病毒的主机从内网断开，杀毒，安装微软提供的相关SQL Server的补丁。我爱贵溪ID9AMbPQ
2、 在安全网关上关闭该病毒的相关端口。
c3h:D:eQ%P C-Y0伪造源地址DDoS攻击
\6PFC.~0【故障现象】伪造源地址攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，占用安全网关的NAT会话资源，最终将安全网关的NAT会话表占满，导致局域网内所有人无法上网。我爱贵溪hH*I6TX K?7Ib\
【解决办法】
i
s!}5]Ht@4W"\ j!}01、 将中病毒的主机从内网断开，杀毒。
)d7JO;} w6]B\#w4T02、 在安全网关配置策略只允许内网的网段连接安全网关，让安全网关主动拒绝伪造的源地址发出的TCP连接：
"f1oTK^x0ARP欺骗攻击我爱贵溪&W L.bV/Sd
【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。
)yc$^K}0    切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。
*wA |6W \-FI;M0    由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。我爱贵溪0`1JmJbPn
【解决办法】我爱贵溪1]U8Z?yxqz k!J!O
采用双向绑定的方法解决并且防止ARP欺骗。我爱贵溪 H"x+Xz|i1W
1、在PC上绑定安全网关的IP和MAC地址：
'D/e9[ JX [01）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。我爱贵溪F@Y
M(D7AZ*?
2）编写一个批处理文件rarp.bat内容如下：
!S;Ebe[)\%l'ru:W s0@echo off
+Muc~[)C0arp -d 我爱贵溪P;Er2t+d,B
arp -s 192.168.16.254 00-22-aa-00-22-aa
"^)bi8@l0将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。我爱贵溪XZe8Z1L mCFI9U_;h
将这个批处理软件拖到“windows开始程序启动”中。 我爱贵溪V+u/_1U\"W^1Tl'Dz
2、在安全网关上绑定用户主机的IP和MAC地址
B\l.e%Wr.~$o;f&I0黑客及木马攻击常见端口的关闭
5~-DP4dl9gG0以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作： 我爱贵溪7|%M%bfq#a4fK
707端口的关闭： 我爱贵溪qH6G$RH7F
这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下： 我爱贵溪/v Q c@*J)J5`R
1、停止服务名为WinS Client和Network Connections Sharing的两项服务 我爱贵溪1Gkl$H8X1}jpo%W
2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件
wspV7Yr2K\03、编辑注册表，删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值 我爱贵溪4~JQajE
1999端口的关闭： 我爱贵溪b+p Zn$W9}4sw
这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：
E&V9lVy.^] R{#i01、使用进程管理工具将notpa.exe进程结束 我爱贵溪(X#feM@J ]\Hv l%vL
2、删除c:Windows目录下的notpa.exe程序
,tX/B,Q/@
^ HF03、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion 我爱贵溪P&T@2a%}]C
Run项中包含c:Windows otpa.exe /o=yes的键值
C&x-h[F
n02001端口的关闭： 我爱贵溪B,V9lyHh6~
这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：
qo$lSY&m01、首先使用进程管理软件将进程Windows.exe杀掉
,T#Y\%d?:~3T_ q02、删除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件
U rt+K%{&do:U7p[I03、编辑注册表，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 我爱贵溪Hk/c0Sx0G%c%W
RunServices项中名为Windows的键值 我爱贵溪 P+_6xl
~&D7f8M#j!k
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除
j bO[ X RFF/S05、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的c:Winntsystem32S_ SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1
%Mb5x"?K6s%O7?F:^06、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand 我爱贵溪rD)o}3c%_#Dix7j G
项中的c:Winntsystem32S_SERVER.EXE %1键值改为 我爱贵溪#~O(P&U2x2?um
C:WinNTNOTEPAD.EXE %1
5`/izU [02023端口的关闭：
1fzW4l(AE%ib0这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下： 我爱贵溪 As&w(K-c+I.O
1、使用进程管理工具结束sysrunt.exe进程
c%j+n j'c bD02、删除c:Windows目录下的sysrunt.exe程序文件 我爱贵溪8F#Lo.lQI
3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
V"j;}+Gt"C3aD-Dh hO04、重新启动系统 我爱贵溪2^a8AeyXoK+F
2583端口的关闭： 我爱贵溪 plz.sc
这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：
7n7CLH.R7hk{01、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
c[E-M~tZ0Run项中的WinManager = "c:Windowsserver.exe"键值
;VU3j D'f ]8Wz:S/cI02、编辑Win.ini文件，将run=c:Windowsserver.exe改为run=后保存退出 我爱贵溪Zdn(P E6u/Z(`s
3、重新启动系统后删除C:Windowssystem SERVER.EXE

@&w$Xp4x/G03389端口的关闭： 我爱贵溪/H*^:eM#k$f
首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。
#o:?4yKF2T0Win2000关闭的方法： 我爱贵溪,ut:`0W_$w
1、Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。
`-{&U"C6pQh/D4S02、Win2000pro开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。 我爱贵溪7Y1^m%z0U
Winxp关闭的方法： 我爱贵溪~/LB(mu9V
在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 我爱贵溪"Om6@%{&VlY b8A b V
4444端口的关闭：
kdmsB1l,y0如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下：
8eL1QU:|2z01、使用进程管理工具结束msblast.exe的进程
3n4P^ kB02、编辑注册表，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 我爱贵溪/A8|ZOAf7h;{
项中的"Windows auto update"="msblast.exe"键值
N"]d P{K03、删除c:Winntsystem32目录下的msblast.exe文件 我爱贵溪6cDQsU%k
4899端口的关闭：
x? ].w.dwe_0首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。 我爱贵溪:mxz0z3~ n'f"o
关闭4899端口： 我爱贵溪,T ~~*wN r@
1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:Winntsystem32(你的系统安装目录），输入r_server.exe /stop后按回车。 我爱贵溪Z-DtSI1B/?y_
然后在输入r_server /uninstall /silence
5Seb(S\02、到C:Winntsystem32(系统目录）下删除r_server.exe admdll.dll 我爱贵溪9aWMT[
raddrv.dll三个文件 我爱贵溪s` yz3GV
F
5800，5900端口：
#b z+j;M9j!_0首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。
SXP^
|DTH0请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭 我爱贵溪)M o9LZOm
t/U~:[
关闭的方法：
T.n/c5s^6jR01、首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:Winntfontsexplorer.exe) 我爱贵溪1NO g,Dy!oF~-mM
2、在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:Winntexplorer.exe) 我爱贵溪Py:j'H&P
3、删除C:Winntfonts中的explorer.exe程序。 我爱贵溪.BG&y
K%]9E]
4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
3a6dx5Dsyrb0CurrentVersionRun项中的Explorer键值。 我爱贵溪? r!r7?"C6Z
5、重新启动机器。
yY4l'i4iRQ0g06129端口的关闭： 我爱贵溪r7g0M"wv"];qA3D
首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭
Z5Us_T0关闭6129端口： 我爱贵溪X*kS2L| Q)\x K
1、选择开始-->设置-->控制面板-->管理工具-->服务 我爱贵溪N2tH~)wR
找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。 我爱贵溪2g"L9o5tfc
2、到c:Winntsystem32(系统目录）下将DWRCS.EXE程序删除。
q:osremp3\03、到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS键值删除
k,q4Nn[-omQ p2b06267端口的关闭： 我爱贵溪F.Am"lm S LP
6267端口是木马程序广外女生的默认服务端口，该木马删除方法如下： 我爱贵溪/MA ZJ&MM$kEVx
1、启动到安全模式下，删除c:Winntsystem32下的DIAGFG.EXE文件
w2o-m$HO2q||xXFi02、到c:Winnt目录下找到regedit.exe文件，将该文件的后缀名改为.com
vH!h9d;R\;`
Go03、选择开始-->运行输入regedit.com进入注册表编辑页面
}
A%b/X b6n.uw04、修改HKEY_CLASSES_ROOTexefileshellopencommand项的键值为"%1" %* 我爱贵溪OQ;sa5Gi
5、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中名字为Diagnostic Configuration的键值
9Fgc5I9g9RwZ06、将c:Winnt下的regedit.com改回到regedit.exe
9f,Cd/A'KJ06670、6771端口的关闭： 我爱贵溪ApO f4H7v
这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口，清除该木马的方法如下： 我爱贵溪hQ:X6Yd#N/iw
1、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion
G?kAOP0Run项中的‘System32‘=c:Windowssystem32.exe键值（版本1.0）或‘SystemTray‘ = ‘Systray.exe‘ 键值（版本2.0-3.0)键值 我爱贵溪2j]9m,] O}T-Q[
3、重新启动机器后删除c:Windowssystem32.exe（版本1.0）或c:Windowssystemsystray.exe（版本2.0-3.0）
z"F6fy.o06939 端口的关闭：
2x;_7owAL0这个端口是木马程序Indoctrination默认的服务端口，清除该木马的方法如下：
$z(F5B,Z7`F01、编辑注册表，删除 我爱贵溪u,z%J;d)N\5e
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows 我爱贵溪&UK|Q)}(hPRY
CurrentVersionRun 我爱贵溪5k0KtN'p e-a)Tj
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
9Qn'Vo0J0CurrentVersionRunServices 我爱贵溪@1fE\^ {
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
am'j9t4I3h7rF0CurrentVersionRunOnce
O4|4d3[6E.U0HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
B X/G6n `L0Y+[0CurrentVersionRunServicesOnce
q$]pM:} J:w;Sb0四项中所有包含Msgsrv16 ="msgserv16.exe"的键值
9@'c:{Ri'{i y{02、重新启动机器后删除C:Windowssystem目录下的msgserv16.exe文件 我爱贵溪
U3\S
o8]My9p
6969端口的关闭：
"F,Mb9f2pP]*O1\^{2o0这个端口是木马程序PRIORITY的默认服务端口，清除该木马的方法如下：
u'Vh
IT
z%W^U01、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
)h&S-W
Z,wv.W0Run Services项中的"PServer"= C:WindowsSystemPServer.exe键值 我爱贵溪 _/xSc+oL9@EQ
2、重新启动系统后删除C:WindowsSystem目录下的PServer.exe文件 我爱贵溪H],w2f8qN:@G
7306端口的关闭： 我爱贵溪jfi6K R'_Qp
这个端口是木马程序网络精灵的默认服务端口，该木马删除方法如下： 我爱贵溪` l~(?"yQ0rB*^2},M
1、你可以使用fport察看7306端口由哪个程序监听，记下程序名称和所在的路径 我爱贵溪m3]]8fzNnY(u
2、如果程序名为Netspy.exe，你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马 我爱贵溪.]Wp4h6r5]dye
3、如果是其他名字的程序，请先在进程中结束该程序的进程，然后到相应目录下删除该程序。
_^IFQ-t6{n-k04、编辑注册表，将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中与该程序有关的键值删除 我爱贵溪B%r/t+A\wn0nz
7511端口的关闭：
.@1{+B2O nS;^\e07511是木马程序聪明基因的默认连接端口，该木马删除方法如下： 我爱贵溪7X.k ?)r.wP
1、首先使用进程管理工具杀掉MBBManager.exe这个进程 我爱贵溪Di~%qYU'Vq0Y
2、删除c:Winnt（系统安装目录）中的MBBManager.exe和Explore32.exe程序文件，删除c:Winntsystem32目录下的editor.exe文件 我爱贵溪k'_$mn_` K
3、编辑注册表，删除注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersion
!z7Y3R?#K%GyW0Run项中内容为C:WinNTMBBManager.exe键名为MainBroad BackManager的项。 我爱贵溪 NV2yq(i$l U
4、修改注册表HKEY_CLASSES_ROOT xtfileshellopencommand中的c:Winntsystem32editor.exe %1改为c:WinntNOTEPAD.EXE %1
3h)oBH8q
gc&Lm05、修改注册表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand
S5U2T*YGws0项中的C:WinNTexplore32.exe %1键值改为C:WinNTWinHLP32.EXE %1 我爱贵溪@O'AB~:a%F3u[
7626端口的关闭： 我爱贵溪P H%{-_ V
7626是木马冰河的默认开放端口（这个端口可以改变），木马删除方法如下： 我爱贵溪R%B7y|9_r)[)If s
1、启动机器到安全模式下，编辑注册表，删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun 我爱贵溪 a \$w6r%Y-JY
项中内容为c:Winntsystem32Kernel32.exe的键值 我爱贵溪0a1Q)EO K6Q,g
2、删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices项中内容为C:Windowssystem32Kernel32.exe的键值 我爱贵溪7ovZ6~th5}
3、修改HKEY_CLASSES_ROOT xtfileshellopencommand项下的C:Winntsystem32Sysexplr.exe %1为C:Winnt otepad.exe %1
;d6XSt @2|5^R%yO*k(U04、到C:Windowssystem32下删除文件Kernel32.exe和Sysexplr.exe
-M[}G2[s08011端口的关闭： 我爱贵溪I cnyE W
8011端口是木马程序WAY2.4的默认服务端口，该木马删除方法如下： 我爱贵溪&MH5lx~
1、首先使用进程管理工具杀掉msgsvc.exe的进程
2_`4Zs2K z}9G6U02、到C:Windowssystem目录下删除msgsvc.exe文件 我爱贵溪g Jp%r(j%b @uP0z
3、编辑注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion 我爱贵溪#_ cL,J%m
X%dO
Run项中内容为C:WinDOWSSYSTEMmsgsvc.exe的键值