单位的深信服apt威胁检测系统告警,政务外网的某个ip(对应的是某个房间的tplink小路由器),感染了蠕虫病毒。该tplink路由器,下联了三台设备,分别是两台联想的一体机电脑,都是win11系统(一开始用的是24h2版,之后做系统安装的是25h2版),还有一台fuji(网络)打印机。
该告警从2月24日上午将近9点时出现,我们发现后,也是在政务外网防火墙上封锁了该ip,并使用电脑已安装的360安全卫士13版(强力模式)查杀,全盘查杀,没有查杀到可疑文件,查杀完重启系统。之后给他们解除了ip封锁。并将安全卫士升级到最新。
2月25日一上班,发现apt中又出现了告警,告警时间是24号下午下班后,和25日上班后大概9点左右。我们将两台电脑都进入到安全模式进行查杀,分别使用了360安全卫士和360系统急救箱进行全盘查杀,都是从官网下载的最新版的,两台电脑(包括优盘)各扫描了两次,也都分别重启了系统。这次确实查杀到了一些文件,但不知道是否和这次的蠕虫病毒有关。扫描完在apt中,看到了奇怪的一幕,之前触发告警,非持续性的,而今天查杀完后,是持续性的触发告警,都是感染蠕虫病毒。我们问了一些相关技术人员,没有得到什么有效的处理方法。最后决定,将两台电脑全盘格式化,重做系统。
2月26日,基本一整天时间,分别将两台电脑重做系统,安装日常办公、或业务需要的一些软件。
2月27日,截止到今天下午15:50之前,一直都没有告警。但是在15:55左右,又触发了感染蠕虫病毒的告警。我们对两台电脑进入到安全模式,用360安全卫士和360系统急救箱进行全盘查杀,没有发现什么问题。也询问了电脑使用者,他们没有在三四点期间做什么。今日他们确实也安装过一些软件,但是看着不应该触发告警。今日安装的软件,有从360应用商店下载的wps,还有下载的应该是windows系统自用的纸牌类游戏。现在除了优盘外,用户还提供了一个移动硬盘(之前没有对它进行过查杀),但是该移动硬盘,今日没有连过电脑,只是昨天下午,在做完系统安装完所有软件后,通过该移动硬盘,往电脑里拷贝了一些业务文件。现在正在对该移动硬盘进行全盘查杀,目前扫描进程已过半,360安全卫士还没有扫描到问题。
请问,现在我们到底该如何排查并彻底清除蠕虫病毒? |
|
|
|
|
|
|
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
纳米AI搜索
手机卫士
评论
直达楼层