工作中时刻要解决用户问题,用户的问题如下
这个病毒一个小时定时复制到C盘,安全软件可以查杀,但是生成这个文件的程序找不到
遇到这种问题,凭借用户所说的肯定是无法判断到底是怎么回事,首先让用户上传日志
然后用户发来一条日志
病毒防护,文件实时监控,发现病毒Virus/Almanahe.a!src, 已处理
操作进程:System
病毒路径:C:\setup.exe
病毒名称:Virus/Almanahe.a!src
病毒ID:A79AB283EE7EA771
操作结果:已处理
这一条日志,其实包含的点已经很多了,通过这条日志就能解决用户的问题,下面我们来进行分析
首先看报毒名:
Virus/Almanahe.a!src
主类型是感染型病毒,我们要回忆感染型病毒有哪些特性,比如说会感染文件,有蠕虫特性等等
再看操作进程:system
是system,不是system.exe,说明是含有0环权限的系统进程,那操作进程是system,基本就是有两个可能。
操作文件的是本机的驱动程序
操作请求是SMB共享
如果没有分析过Almanahe感染型病毒,我们可以搜索下
从上图可以得知这个病毒会通过共享传播
以上,基本把事件整理清楚了,大致就是其他机器上感染了Almanahe感染型病毒,通过爆破共享将文件复制到同一局域网下的机器上,因此才会导致用户产生的重复报毒情况。
这时,就可以给用户一个回复:
通过报毒日志看出Almanahe感染型病毒是从共享传过来的,可以使用安全软件设置ip协议控制,阻止入站139,445端口,看看是哪台机器重复访问本机共享,找到后可以使用全盘查杀清除病毒