W32.Downedup.B頑固病毒——查殺記：前因后果 Dec 20.2011 這幾天的我，埋頭忙碌于處理這么一件事——近來被一個名為W32.Downedup.B頑固病毒折騰了一段時間，弄得新上線的電腦出現一些系統莫名其妙的死機、Symantec防病毒軟件SEP不斷地彈出病毒報告對話框，大大影響許多同事的工作，同時也給他們帶來許多恐慌。 其實一開始，我們面對這狀況，不太重視，導致越來越的同事反映新電腦系統慢得驚人，而且經常死機。頂頭上司IT主管和我才重視起來。 后來，經過一些常規手段的處理和特殊方法的解決，才慢慢地將這個說大不大，說小不小的問題，給解決了。 原來這是利用微軟MS08-067漏洞傳播的病毒，需要給系統打上MS08-067補丁，而這個MS08-067漏洞針對139、445端口的RPC服務進行***的漏洞，可以直接獲取系統控制權，并可運行任意代碼，如果利用漏洞的嘗試失敗，這還會導致Svchost.exe 的崩潰。 從百度百科中可以了解到： 安全漏洞 (security hole) 受限制的計算機、組件、應用程序或其他聯機資源的無意中留下的不受保護的入口點。漏洞是硬件軟件或使用策略上的缺陷，他們會使計算機遭受病毒和******。 整個事情的前因后果，我覺得有必要記錄一下，一方面方便自己理清思路，積累一點病毒查殺經驗，提醒自己得重視病毒防護工作，另一方面也是為了給以后有需要幫助的人提供一點幫助—— 2011年底，我所在的公司，例行的——都是將一批舊電腦替換上一批新電腦，筆記本電腦是三年可申請換一次，而臺式電腦則是五年換一次。 這一次，總共來了八臺Lenovo Thinkpad T420、一臺Lenovo Thinkpad X220、兩部臺式電腦HP DC8000。 其實，做的工作很簡單，跟我之前寫的那篇博文《三天混戰“網工”生活》（http://2518492.blog.51cto.com/2508492/476823）描述的差不多，只要細心一些，都能配合許多同事順利地用上新電腦。 而這一回，我的具體工作卻多了一些，也算是多了一些主導權吧。其中有一個原因則是我的頂頭上司IT主管忙碌于公司新ERP系統SAP的一系列工作事務以及2012年工廠二期網絡項目的預備工作。 從而，將新電腦上線一些雜七雜八的事情，全部交付給我—— 記得去年已經有了一次大規模舊電腦換新電腦的工作經驗了，總共換了12部臺式電腦和三臺筆記本電腦，前前后后忙碌了三天。 因為有了一次經歷，這一次的工作不算復雜，做起來，熟悉得很。 1,事先作好兩份Excel文檔，方便整理信息，一份名為：《New Computer》，另一份名為：《Managing Computer》，其中詳細記錄新舊電腦的信息，如：用戶中文名、英文名、型號、配置、序列號、日期、計算機名稱、原固定資產編號、舊電腦處理情況、存放位置。 2,在域控服務器上添加新計算機，填寫詳細的“描述（Description）”信息，如：用戶英文名、固定資產編號、序列號、辦公位置。 3,在文檔《PC Inventory》中詳細記錄新舊計算機的信息，需要注意的是，幾項信息需要填寫清楚，如：計算機名、型號、購入時間、固定資產編號、使用者。 就這樣，一邊處理新舊電腦的替換工作，一邊整理信息，以有利于以后的統一管理。 新電腦上線了，本以為平平靜靜地工作了，沒想到，問題卻來了，只因這一個W32.Downedup.B頑固病毒。 因為我們IT部門只有兩個人，而我，作為IT主管的下屬，其實有許多與公司里同事打交道的工作都是由我來負責和交流。 這幾天，好不安寧呀—— 病毒來了，同事怨聲載道……“什么時候弄好我的系統呀”、“這個叫什么的病毒弄得系統經常死機”…… 病毒來了，上司緊急下令……“我們得認真對待這個事件”、“將處理好這個病毒的事件排到優先級第一的位置”…… 于是，我的病毒查殺歷程開始了—— 一面，安撫好辦公電腦出問題的同事：別擔心！會有解決的辦法的！利用Symantec防病毒軟件查殺，無論是正常模式還是安全模式，通通嘗試…… 另一面，則寫郵件和IT主管Steven溝通，共同商量對策。 昨天，我在51cto論壇“病毒查殺”板塊中，發了一個貼子《困擾中——W32.Downedup.B頑固病毒~》（http://bbs.51cto.com/thread-904330-1.html），尋求幫助。 昨晚，一位版主redhat9i ，湯師傅，應該是安全高手，指點了一下，字數雖不多，字字珠璣！十分感謝這位版主的指點！ 這是利用微軟MS08-067漏洞傳播的病毒，也被稱為飛客或confker病毒，需要給系統打上MS08-067補丁，之前本版也有很多帖子說明，你搜索一下吧。 第二天，我到公司上班，幾臺電腦的病毒查殺問題就解決了—— 我用兩封郵件的內容來說明一下病毒查殺的結果： 【一封給IT主管Steven的郵件】 主題為：W32.Downedup.B頑固病毒－－解決措施 附件為：病毒清除工具 Steven, 這幾天，我在不同的筆記本電腦采用不同的方式處理這個頑固病毒—— １，因為SEP總是彈出報告，采用該蠕蟲病毒的專殺工具（W32.Downadup Removal Tool）清除了，過一段時間，系統里的防病毒軟件彈出報告。我認真看了一下，報告的內容大多顯示感染的位置是系統盤的臨時文件或緩存文件。 ２，再次在安全模式下用SEP掃描之后，重啟電腦，還是會彈出報告。 最后，我針對這個問題，到微軟幫助與支持（http://support.microsoft.com/kb/958644）網站、技術網站（http://tech.ccidnet.com/art/1099/20081027/1599951_1.html）有關病毒防護的網站搜索資料， 了解得知——W32.Downedup.B　頑固病毒 這是一個利用微軟MS08-067漏洞傳播的病毒，也被稱為飛客或confker病毒， 如果成功利用該漏洞的遠程***者，可能會利用此問題危及基于Microsoft Windows系統的安全，并獲取對該系統的控制權。 如果利用漏洞的嘗試失敗，這還會導致Svchost.exe 的崩潰。 該安全漏洞可能允許遠程執行代碼，如果受影響的系統收到了特制偽造的RPC請求。在Microsoft Windows 2000、Windows XP和Windows Server 2003系統，***者可以利用此漏洞無需通過認證運行任意代碼。 這個漏洞還可能被蠕蟲利用，此安全漏洞可以通過惡意構造的網絡包直接發起***，并且***者可以獲取完整權限，因此該漏洞很可能會被用于制作蠕蟲以進行大規模的***。 最后，針對處理這個W32.Downedup.B頑固病毒采取的解決方案—— １，需要給新上線的筆記本T420的系統安裝一個MS08-067安全補丁（我已經下載一個英文版OS版本的補丁） ２，采用該蠕蟲病毒的專殺工具（W32.Downadup Removal Tool） ３，在安全模式用Symantec防病毒軟件進行全盤掃描，徹底清除該病毒。 綜上所述，采取措施之后，龍崗工廠部分電腦，已經沒有病毒報告顯示在系統里了。 過一段時間，再看一看系統的運行狀況，是否運行正常？是否得到徹底解決？還有沒有死機的現象？ 靜觀其變，再商對策。 ? 　　　【IT主管Steven回復的郵件】 ? Andy,<?xml:namespace prefix = o />

?

你有了很大的進步～～～

?

【一封給諸同事的郵件】 主題：W32.Downedup.B頑固病毒－－解決方法 Dear all,

　　近來，新上線的一些電腦，其中包括：HP臺式電腦、Lenovo T420筆記本電腦，部分電腦有可能感染了一種病毒，名為：W32.Downedup.B的蠕蟲病毒。

　　由于Symantec防病毒軟件總是彈出病毒報告，給你們的工作帶來許多不便之處，我們IS部門沒有及時解決，敬請諒解。

　　如果你現在用的新電腦，系統中運行的Symantec防病毒軟件有彈出相關的病毒報告或者系統運行狀況不正常的，請及時聯系我。 　　為了消除這個安全隱患，讓操作系統更加良好地運行，方便你們的工作。

　　我們會對已經感染的或潛在感染W32.Downedup.B頑固病毒的電腦，采取一些應對措施——

?

１，先簡單介紹一下

W32.Downedup.B　頑固病毒

這是一個利用微軟MS08-067安全漏洞傳播的病毒，也被稱為飛客或confker病毒，

該安全漏洞可能允許遠程執行代碼，如果受影響的系統收到了特制偽造的RPC請求。在Microsoft Windows 2000、Windows XP和Windows Server 2003系統，***者可以利用此漏洞無需通過認證運行任意代碼。

這個漏洞還可能被蠕蟲利用（有可能涉及到這個W32.Downedup.B頑固病毒），此安全漏洞可以通過惡意構造的網絡包直接發起***，并且***者可以獲取完整權限，因此該漏洞很可能會被用于制作蠕蟲以進行大規模的***。

２，我們IS部門將采取的解決措施

針對處理這個W32.Downedup.B頑固病毒采取的解決方案——

１，需要給新上線的電腦的系統安裝一個MS08-067安全補丁（我已經下載一個英文版OS版本的補丁）

２，采用該蠕蟲病毒的專殺工具（W32.Downadup Removal Tool）查殺病毒

３，在安全模式用Symantec防病毒軟件進行全盤掃描，徹底清除該病毒。

?

針對部分感染的電腦，采取這些措施之后，龍崗工廠部分電腦，已經沒有病毒報告顯示在系統里了。

過一段時間，再看一看系統的運行狀況，是否運行正常？是否得到徹底解決？還有沒有死機的現象？

靜觀其變，再商對策。

有什么IT問題，需要幫忙的，請及時聯系我。 ?

? ???? 【其中一位同事Julia回復的郵件】 ? 病毒的克星――IS。。。

我還認為是我的人品有問題呢？怎么什么電腦到我手里都死機，終于清白啦！ ? ? ?

?

轉載于:https://blog.51cto.com/zxgchinese/746448

總結

以上是生活随笔為你收集整理的W32.Downedup.B顽固病毒——查杀记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。