用網管軟件排病毒

電腦感染病毒是難免的事情，可是在病毒發作并影響工作之前，能夠及時發現并采取必要的措施加以防范，才是運維人員應該做的工作。近期，筆者就遇到一個終端電腦感染了病毒，在還沒有影響工作的情況下，利用網絡管理軟件檢測到病毒，并及時進行了處理。

故障現象

為了不進機房，又能在自己使用的電腦上觀察局域網流量情況，我在局域網匯聚交換機上和接入交換機上配置了端口鏡像，即RSPAN，具體為：

匯聚交換機配置Remote-Span Vlan：

圖1 終端探測外網

終端電腦上安裝科來網絡分析系統交流版軟件，本來學習軟件使用，結果有一天進行網絡巡查時無意發現了一個現象：在利用軟件查看端口使用情況時，發現445端口有些異常，其中一臺終端還顯示了進程。通過終端過濾，可以清楚地看到，這臺終端運行了mssecsvc.exe,向局域網外部多個地址頻繁發送數據包，目的端口都是445端口，特征是探測外網終端的445端口。

由于我單位局域網和互聯網物理隔離，因此自然收不到返回數據包（如圖1）。

故障分析

檢查這臺終端，在任務欄上右鍵單擊選“啟動任務管理器”，在“進程”選項卡中看到有mssecsvc.exe *32進程在運行（如圖2）；在 C:windows目 錄 中查看，捕獲到病毒樣本文件三 個， 即：mssecsvc.exe、qeriuwjhrf、tasksche.exe，其 中 tasksche.exe和qeriuwjhrf文件大小為3432KB，mssecsvc.exe大小為 3636KB（如圖 3）。

進入DOS界面后，輸入命 令：netstat -an命 令查看網絡連接，會發現該終端會不停地對外發送SYN_SENT包（如圖4）。結合上面用網絡分析工具看到的現象，綜合以上可以判斷，這臺終端感染了“WannaCrypt”病毒。

故障解決

1.通過任務管理器，在任務欄上右鍵單擊選擇“啟動任務管理器”，從進程中選中mssecsvc.exe *32進程，右鍵單擊選擇“結束進程樹”將病毒程序結束，可是不一會兒，進程中又出現該進程了，于是再次快速操作，結束該進程。

圖2 終端進程列表

圖3 病毒樣本列表

圖4 對外發送數據包

圖5 問題解決

2.殺掉進程后，通過快速切換，進入C:windows目錄中，刪除上面三個病毒樣 本 文 件：mssecsvc.exe、qeriuwjhrf、tasksche.exe，并重新啟動。

3.到官網上下載補丁程序 MS17010_WIN7_64bit，通過光盤擺渡到局域網終端內安裝，補丁包內有兩個補丁，依次安裝并按照提示重啟電腦，直到完成。

4.進行安全加固，包括：關閉445端口、135端口、139端口、查看本地連接屬性，將“Microsoft網絡的文件和打印機共享”前面的勾選去掉和啟動防火墻等。

通過以上措施，再次打開DOS界面，輸入命令：netstat-an，發現終端沒有發大量SYN_SENT包，進程中沒有mssecsvc.exe *32進程，C:windows目錄中刪除了上面的三個病毒樣本文件，進網絡分析平臺，該終端不再向外網終端的445端口發數據包了（如圖5）。問題得到圓滿解決。

經驗總結

終端感染病毒，在病毒發作并影響工作前，一般都將自己隱藏起來，不易被人察覺，使用人員容易忽視，造成終端帶病工作。利用網絡分析軟件，定期進行網絡巡查，及時發現局域網內的異常流量，加上終端安裝防病毒軟件，定期升級病毒庫，及時打補丁，兩者配合，多管齊下，可以將病毒的危害減少到最低程度。