域工作站反复感染病毒

域工作站反复感染病毒

我们的一位用户反复感染病毒。该用户在两台不同的机器上都遇到过同样的问题,每次都是同一个程序感染了同一种病毒。

Malware bytes 检测到了恶意软件,昨天我清理了系统。请注意,MSE 没有发现任何东西。Malware bytes 实时扫描程序也在运行,但我今天再次检查,系统再次被感染。

它是一个 Win 7 Pro SP1 系统,具有最新更新,它运行 Windows 防火墙(并且位于企业防火墙后面)、系统上有 MSE 和 MBAM,但它仍然被重新感染!

我已经扫描了用户的网络驱动器,以防他们从那里获取它,但到目前为止还没有发现任何东西。

我怎样才能彻底解决这个反复出现的病毒问题并一劳永逸地阻止系统被感染?

答案1

Trojan.Agent.Gen 是一个通用的签名。这意味着 Malwarebytes 的启发式方法发现了一些东西,但应用程序不确定它是什么,所以它会删除应用程序仅有的,因此任何备份或屏蔽副本仍可留在系统中。甚至有很小的可能性,这根本不是病毒。如果是病毒,我们需要先建立签名。
请执行以下操作:

  1. 使用以下方式扫描您的电脑真实的防病毒引擎并发布结果。我建议您使用卡巴斯基的免费实用程序,它们包含最新的病毒定义和全面的防病毒引擎: http://www.kaspersky.com/virusscanner
  2. 获取 MalwareBytes 找到的文件并将其发送至virustotal:https://www.virustotal.com/发布结果链接,以便我可以找到描述并为您提供进一步的建议。
  3. 如果出于某种原因,步骤 1 没有给您任何结果,并且您无法在步骤 2 中找到特定文件,我们将不得不手动进行分析。您需要收集 AVZ 系统分析日志。下载 AVZ4 实用程序http://z-oleg.com/avz4.zip,运行标准脚本 1 和 2 并发布结果。

PS:Microsoft Essentials 和 Malwarebytes 不能替代优质的终端安全产品。它们无法处理许多病毒,因为它们缺乏捕捉病毒所需的复杂安全组件。如果您不想再次遇到此类问题,请考虑购买 McAffee、Kaspersky 或 ESET 的行业标准终端软件。特别是如果您在企业环境中工作。

答案2

普通嫌疑犯:

登录用户具有不适当的提升权限或权利。

安装了存在漏洞且过时的 Adob​​e Flash 浏览器帮助程序。

安装了有漏洞且过时的 PDF 阅读器。

安装了易受攻击且过时的 Java 运行时。

使用受感染的可移动媒体(USB 驱动器)。

请注意,对于许多 APT(高级持续性威胁),构建一次性、自定义、独特的恶意应用程序供受害者下载是小菜一碟。由于二进制文件加密,扫描可能无法标记这些应用程序。在某些情况下,需要分析网络活动以检测入侵。这是 FireEye 和 Trend Deep Security 等产品与传统基于客户端的防病毒应用程序的不同之处之一。

答案3

除了 Greg Askew 的回答之外,这里还有一些想法。

如果用户感染了此病毒,那么这肯定是该用户的习惯或账户所特有的问题。

通常它可能是漫游配置文件,而您说它未被使用。

再次感染意味着某种植入程序或 rootkit 隐藏程序在伪装后重新下载软件;用户是否以提升的权限运行?在这种情况下,摆脱再次感染的唯一方法是重新格式化计算机并完全重新开始,甚至摧毁引导扇区。如果某些东西在后台隐藏并重新下载软件,检测到后,这将彻底擦除它。

否则,您将不得不求助于检查用户的浏览习惯。您是否有监控 Web 浏览活动的代理系统?它的日志能否告诉您用户在感染期间访问了哪些网站?(如果软件是通过 http 下载的,您的代理也可能配置为阻止下载网站,具体取决于它是什么……这可以帮助防止一些再次感染媒介)

另一种想法是,这是误报。获取可执行文件并将其上传到在线病毒扫描程序,该扫描程序会针对多个 AV 引擎测试可执行文件,看看它是否真的触发了大多数引擎。我过去曾遇到过误报问题。再次,代理服务器或数据包嗅探器可以帮助确定计算机是否确实在做不该做的事情。仅让 AV 触发警报并不意味着计算机实际上在做不该做的事情。

您说感染导致计算机锁定;对我来说,这有点奇怪,因为当今大多数恶意软件的目标不是通过让计算机直接表现出异常并引起注意来避免被发现。可能是有什么东西破坏了可执行文件?机器锁定可能是巧合吗?

重新感染和无法找到远程安装(如具有感染者的共享或主目录)意味着监视用户的习惯,删除工作站上的安装并从头开始重新安装以消除隐藏的工具包,并使用权限限制,以便用户只能“感染”他有权访问的自己的目录,并通过使用第三方网站进行扫描来验证受感染的可执行文件是否真的被感染。

答案4

我的建议是,通过以管理员权限运行 HijackThis 并使用日志分析工具找出 Windows 注册表中的任何可疑条目,以查找恶意软件的任何备份副本。此外,使用 Adwcleaner 和反 rootkit 工具进行扫描也是不错的选择。

相关内容