淺析區（縣）電視臺網絡管理—以查殺Kido病毒為例

楊 華，沈佳欣

（1.南京市雨花臺區人民廣播電臺，江蘇 南京 210012；2.江蘇有線股份公司雨花臺分公司，江蘇 南京 210012）

淺析區（縣）電視臺網絡管理—以查殺Kido病毒為例

楊 華1，沈佳欣2

（1.南京市雨花臺區人民廣播電臺，江蘇 南京 210012；2.江蘇有線股份公司雨花臺分公司，江蘇 南京 210012）

通過對Kido技術的理解分析，為了應對網絡病毒的入侵，保證區（縣）電視臺播出節目安全的重要性，文章分析了其原因，利用所掌握的知識設計了相應的安全對策。

病毒；木馬；安全；Kido

1 選題背景和研究意義

隨著互聯網的不斷發展，計算機網絡已經是生活中不可或缺的一部分，可隨之而來的計算機網絡安全也成為困擾人們的一大難題，該選題的意義分為兩種：（1）全局意義。網絡病毒是影響計算機通訊與數據通信最大的困難。（2）局部意義。單位的非編網絡受到嚴重的影響直至癱瘓。這對網管而言是一個重要的警醒。

K ido是一種蠕蟲病毒，又叫 Con f icker，也被稱作Downadup。該病毒是安裝在Windows操作系統—%systemroot%system32目錄下的dll文件，注冊操作系Win32服務，病毒再采用復雜算法加密后以upx加殼屬于網絡蠕蟲類，主要利用可移動存儲設備、MS08067漏洞傳播。

Kido蠕蟲病毒，最早發現于2008年，其變種能力強，以每年平均100多個新變種的速度遞增，已經成為計算機和網絡的頭號殺手。

2 Kido技術的基本類型.

2.1 Kido危害性

Kido所具備的幾點常見危害特征：（1）造成被感染計算機動行緩慢，性能下降：造成局域網絡緩慢，甚至癱瘓；（2）傳播迅速，變種能力強，平均每4天出現一個新變種；通過已感染Kido的服務器傳播變種和其他惡意程序；（3）Windows自動更新服務被關閉；阻止防病毒產品更新。

2.2 Kido產生過程與現象

從南京市雨花臺區人民廣播電臺受到該病毒攻擊進行現象分析：據網絡大多數Kido攻擊現象如出一轍。首先簡單介紹該廣播電臺網絡拓撲，如圖1所示。

圖1 雨花廣播電視臺制播拓撲

原本只有一臺雙網卡主機是連外網的，連外網的目的僅僅是用來升級殺毒軟件，但用的殺毒軟件都不是正版的，為了更新需要還是必須要升級的。這次病毒是通過U盤進入的，U盤通過雙網卡那臺主機，因為沒能及時清除病毒，感染了內網所有工作站。

內網感染病毒之后，首先會出現如圖1所示的情況，也就是說服務器上的server服務被關閉了，接著盤塔中的數據讀不出來，非編軟件打不開僵死在那邊，即使有的雙擊能運行，打開的也是本地的庫與2003server數據庫失去中斷出現的錯誤提示，非編軟件僵死在那里。

出現這種情況，工作人員立刻向服務器發出ping包用ping 189.8.8.100命令進行檢測，發現正常如圖2所示。

此刻管理員立刻對服務器進行檢查，發現2003server的 server服務果真被關掉了。發現這個情況后，立刻打開server服務，打開之后，工作站運行又正常了。但是不到5分鐘時間，網絡又癱瘓了，非編軟件又打不開，和上面一樣即使打開了也是本地的庫。此時網絡管理者又對2003server 進行檢查，發現server還是被關掉了。意識到網絡病毒正在影響網絡的數據傳輸。此時播出機房也癱瘓了，主播機189.8.8.21、備播機189.8.8.22、編單機189.8.8.23、入庫機都不能與盤塔189.8.8.56進行數據共享了。對于目前情況，只能采取殺毒措施。可是dell工作站和server上都沒有殺毒軟件，自從系統裝好之后系統漏洞的補丁一直沒有打上。于是寄希望于360安全衛士，雖然查殺出了很多木馬病毒。但是，查殺結果不是很令人滿意。情況依舊存在，這時立刻斷網查殺，對每臺單機安裝最新版卡巴斯基，進行全盤查殺。此時殺毒結果出來了，一種變種Kido病毒被查出，如圖3所示。

圖2 使用Ping 命令后服務器正常

圖3 殺毒結果查出病毒

而此時Sobey公司病毒工程師也作出了確認，這就是Kido病毒，此種病毒在江寧電視臺也發生過，造成江寧電視臺大面積計算機癱瘓的現象與此一模一樣。得到確認之后，立刻上網進行搜索，發現此病毒是利用微軟的MS08-067漏洞對計算機進行感染。分別對dell工作站xp和2003server進行補丁更新。

為了徹底解決此病毒，首先對各個客戶機進行斷網查殺，首先用的是360safe，其次用的是卡巴2009，發現只能檢查到卻殺不掉，于是使用卡巴2010，發現可以殺掉但無法完全清除病毒。卡巴很占用內存這一點眾所周知，所以進行一次全盤殺毒速度很慢，何況還要不斷反復查殺。于是管理員接著使用Kido專殺kk.exe，用它對每臺機器進行輪番查殺，果真查出每臺機器上都有此類病毒。經過二次查殺后，服務器顯示界面如圖4所示。

殺完之后，服務器管理員立刻對所有工作站進行補丁的更新與維護，此時非編網絡終于正常了。

3 結語

在此操作中，管理員結合本地情況，利用現有設備，將所學知識與實際相結合，積累經驗，利用各種處理網絡問題的方法解決了一項重要問題。總之，做好故障處理十分重要。

圖4 二次查殺后服務器界面

[1]劉金國，單鵬.網盾病毒隔離系統在廣播電視臺網絡中的應用[J].現代電視技術，2015（2）：120-123.

[2]楊軍.計算機蠕蟲病毒的解析與防范[J].教育教學論壇，2005（10）：32-34.

[3]劉偉.網絡環境下計算機蠕蟲病毒的防范[J].科技傳播，2011（21）：203，223.

Analysis on network management of district (county) TV station: taking killing Kido virus as an example

Yang Hua1, Shen Jiaxin2
（Nanjing Yuhuatai District Radio Station, Nanjing 210012, China; Yuhuatai Branch of Jiangsu Cable Co., Ltd., Nanjing 210012 China）

According to the understanding of Kido technology analysis, in order to deal with the intrusion of network virus, and ensure the district (county) the importance of television security, this paper analyzed the reasons and designed corresponding countermeasure of safety with knowledge mastered.

virus; Trojan horse; security; Kido

楊華（1978— ），男，江蘇南京，工程師。