作業中時刻要解決用戶問題,用戶的問題如下
這個病毒一個小時定時復制到C盤,安全軟體可以查殺,但是生成這個檔案的程式找不到
遇到這種問題,憑借用戶所說的肯定是無法判斷到底是怎么回事,首先讓用戶上傳日志
然后用戶發來一條日志
病毒防護,檔案實時監控,發現病毒Virus/Almanahe.a!src, 已處理
操作行程:System
病毒路徑:C:\setup.exe
病毒名稱:Virus/Almanahe.a!src
病毒ID:A79AB283EE7EA771
操作結果:已處理
這一條日志,其實包含的點已經很多了,通過這條日志就能解決用戶的問題,下面我們來進行分析
首先看報毒名:
Virus/Almanahe.a!src
主型別是感染型病毒,我們要回憶感染型病毒有哪些特性,比如說會感染檔案,有蠕蟲特性等等
再看操作行程:system
是system,不是system.exe,說明是含有0環權限的系統行程,那操作行程是system,基本就是有兩個可能,
操作檔案的是本機的驅動程式
操作請求是SMB共享
如果沒有分析過Almanahe感染型病毒,我們可以搜索下
從上圖可以得知這個病毒會通過共享傳播
以上,基本把事件整理清楚了,大致就是其他機器上感染了Almanahe感染型病毒,通過爆破共享將檔案復制到同一局域網下的機器上,因此才會導致用戶產生的重復報毒情況,
這時,就可以給用戶一個回復:
通過報毒日志看出Almanahe感染型病毒是從共享傳過來的,可以使用安全軟體設定ip協議控制,阻止入站139,445埠,看看是哪臺機器重復訪問本機共享,找到后可以使用全盤查殺清除病毒
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/214141.html
標籤:其他