NGAF反僵尸网络软件

查杀PC机是否感染了僵尸网络病毒,检查当前网络环境是否已经沦为僵尸网络。NGAF反僵尸网络软件是一款简单易用的 PC端软件,绿色无需安装,无需繁杂的配置,专业查杀僵尸网络病毒。

下载软件

适应平台:Windows XP / Windows Vista / Windows 7 / Windows 8

Linux系统查杀方法1

1.执行命令 apt-get install clamav

2.安装结束后,查杀命令如下: clamav -r 扫描指定目录

3.例子: clamav -r /

Linux系统查杀方法2

1.到http://pkgs.repoforge.org/clamav/ 下载安装包

wget http://pkgs.repoforge.org/clamav/clamav-db-0.98.4-1.el6.rf.x86_64.rpm

wget http://pkgs.repoforge.org/clamav/clamav-0.98.4-1.el6.rf.x86_64.rpm

wget http://pkgs.repoforge.org/clamav/clamd-0.98.4-1.el6.rf.x86_64.rpm

2.安装

rpm -ivh clamav-db-0.98-2.el6.rf.x86_64.rpm

rpm -ivh clamav-0.98-2.el6.rf.x86_64.rpm

rpm -ivh clamd-0.98-2.el6.rf.x86_64.rpm

3.启动服务

service clamd start

4.更新病毒库

freshclam

5.扫描

扫描某个目录,clamscan -r /home/oicqzone

将扫描结果存放到log中,clamscan -r /home/oicqzone -l /tmp/clamav.log

扫描过程中,只显示有问题的文件并且发出警报声音,clamscan -r --bell -i /home/oicqzone

扫描到有问题的文件,直接删除,clamscan -r --remove /home/oicqzone,这一步要小心,最好不要这样操作,小心删除系统文件导致系统崩溃

什么是僵尸网络?

Botnet也被称作僵尸网络,是许多台被恶意代码感染、控制的与互联网相连接的计算机。

感染恶意代码的计算机能够被黑客远程控制,而主人还被蒙在鼓里呢。没有安装适当的反病毒和防火墙软件的计算机

最容易受到感染而成为botnet的一部分。

Botnet被计算机犯罪分子用来发送垃圾邮件、传播计算机病毒、发动拒绝服务攻击。


危害

PC被攻陷后沦为C&C僵尸网络环境,黑客以此为跳板利用各种攻击对内网进行渗透,获取服务控制权,从而盗取、篡改客户的重要信息。

长期被控制的肉鸡会利用C&C命令持续做出危害企业安全的行为。具体表现在:

1.对个人:个人账号被盗取、PC乱弹广告、个人隐私泄漏

2.对企业:数据被长期有针对性地窃取、内网被控制、成为对外攻击的跳板

3.对国家:敏感信息被收集、机密被获取与破坏、国家安全受威胁

解决方案

1.首先根据数据中心APT日志里面的源IP找到中毒的IP

2.下载NGAF反僵尸网络软件,发给中毒IP,依次在中毒PC上运行,观察查杀结果。如果NGAF反僵尸网络软件杀不出来,建议继续使用第三方的 Emsisoft Emergency Kit 进行查杀。

3.如果以上两个依然杀不出来,则很可能是非常顽固的蠕虫病毒变种,请使用蠕虫病毒对应的工具进行查杀。如果全部工具都杀不出来,请联系深信服技术支持。

典型案例:飞客蠕虫

1

200.200.194.4(Server 2003): 这是一个多次查杀均无结果的IP,2014年9月份,根据某公司防火墙出口日志,检验中毒情况如下:

IP地址 部门 用户 操作系统 杀毒结果
200.200.194.210 某部门 赖某 Win2003 杀出病毒
200.200.194.4 某部门 赖某 Win2003 未杀出

2014年12月22日,再次使用多个杀毒软件(主要是Emsisoft Emergency Kit与Nod32),均没有在200.200.194.4上查出病毒

2

观察此公司防火墙网关日志,发现200.200.194.4、200.200.194.210报毒时间相隔很短

3

怀疑二者有关联,在200.200.194.4上抓包,发现这两个IP有很多通信

经分析,发现有大量的139和445端口连接,初步断定中了飞客蠕虫,怀疑是飞客蠕虫把杀毒软件病毒库的自动更新功能给劫持了,所以杀不出来

4

手动在网上下载Nod32病毒库升级包,成功杀出飞客蠕虫

结论:

飞客蠕虫在局域网内可以相互感染与传播,只是清除了200.200.194.4的蠕虫病毒,不久200.200.194.210的蠕虫病毒又会传染过来,所以,会出现网关多次报毒。

观察上图左上角,可以发现,200.200.194.4除了安装了Nod32杀毒软件,还安装了360杀毒软件,防御等级还是比较高的,可见此蠕虫变种还是比较顽固的。此外,为防止再次被飞客蠕虫感染,最好打上MS08-067漏洞补丁包。

MS08-067各个版本补丁:http://blog.csdn.net/netcoder/article/details/3502873

飞客蠕虫专杀工具

KidoKiller

卡巴斯基公司针对飞客蠕虫设计的专杀工具

TMCleanTool

趋势科技公司有效的飞客蠕虫专杀工具

其他工具

建议使用以下第三方客户端工具进行查杀:

Emsisoft Emergency Kit

版本:9.0.0.4523

这是第三方公司Emsisoft提供的本地查杀工具,在网络异常情况下,可以作为NGAF反僵尸网络软件的替代工具, 在一定程度上,同样可以有效查杀僵尸网络病毒。

官方下载链接: 下载软件

适应平台:Windows XP / Windows 7 / Windows 8 / Windows Vista

声明:上述第三方软件仅供您操作参考,深信服科技对上述工具的下载使用不承担任何法律责任。