1、計算機病毒防范及應對策略摘要：介紹了內部局域網與廣域網的區別，提出了計算機病毒在不同環境下需要不同的處理方案，通過梳理震網病毒事件，并結合作者實際工作中經歷的wannacry病毒應急處理案例進行內部局域網的風險分析，提出了普適性較強的防范及應對辦法。關鍵詞：內部局域網；病毒；震網病毒；勒索病毒1概述以前郵差的健康，影響著信息的傳遞效率；如今網絡的健康，決定了數據的通信情況。從這個角度來看，作為病毒，同樣都會給通信帶來負面影響，不同的是它附著的載體發生了變化。醫人需要對癥下藥，解決計算機病毒也需要因地制宜。當下的信息時代里，像國防、金融、通信、工業等維持國家穩定運轉的重要組成，它們的日常運作或出

2、于工作便利、或出于安全保密的因素都會依托于內部局域網，而如何處理在網絡中的計算機病毒則成為一個重要環節。2內部局域網的特性計算機網絡可以分為廣域網及局域網，所涉及的網絡環境為獨立組網，并與其他網絡環境物理隔離的內部局域網。內部局域網通常具備的特性有：（1）相較廣域網更高的傳輸速率；（2）覆蓋地理范圍較小；（3）具有較低的誤碼率及較低的時延；（4）文件及設備共享較廣域網中更便捷；（5）網絡環境隔離，與廣域網無數據通信。可以說局域網在構建了一個封閉系統，與外界物理隔離后，網絡環境的安全取決于人工操作的合規性及內部信任程度。如果由于人員操作不當，致使某種病毒或惡意代碼進入局域網某終端設備，繼而由于相

3、互信任關系導致監控管控力度不足，致使病毒或惡意代碼肆意傳播，最終于局域網內大規模爆發產生不良后果。所以，內部局域網只有在對外物理隔離對內保持監控及實時可控的情況下才能更好地為員工及企業服務。3震網病毒事件震網病毒正式走入公眾視野是在2021年11月29日，由時任伊朗總統的內賈德在官方承認，伊朗的核設施受到了黑客攻擊，造成了離心機故障并導致反應堆無法正常工作，使得伊朗的核計劃至少推遲了兩年。而造成一系列問題的根源就是發作于2021年6月起在全球開始傳播的stux病毒，中文譯作震網病毒。該病毒破壞力強，波及面大，且目的性強，它不同于普通病毒以傳播垃圾信息、篡改系統配置、盜取用戶信息等主要以獲取利益

4、為驅動的作用機理，而是通過感染工業控制計算機，來對重要設施進行破壞，影響其正常運行，造成巨大安全風險。震網病毒主要利用了windows操作系統的ms10-046漏洞、ms10-061漏洞、ms08-067等多種漏洞，偽裝數字簽名繞過檢測后，針對西門子公司控制系統中的監控與數據采集模塊（scADA系統），進行數據的攔截、竊取和修改。可以說震網病毒的復雜性和高端性及主要作用于工業控制系統的特征，都使它的定義成為了一種信息時代的攻擊手段。震網病毒可以在u盤與主機插接連通之后，盡管未獲得許可、未執行任何進程，仍能將病毒注入主機，這也使得它能在欠缺準入控制的物理隔離的網絡中肆意妄為。一度被廣泛接納的觀點

5、，即該病毒是以美國為主的西方國家創造并用于制約伊朗核計劃進程的工具。4wannacry病毒應急處理案例以在某公司內部局域網維護工作中遇到的一起風險較大、知名的病毒傳播案例進行分析，闡述了該病毒在全球領域爆發的過程、所任職的信息化部門在事件中的應急處理辦法。病毒由漏洞利用模塊、加密器、解密器3部分組成。病毒利用ms17-010漏洞進行入侵，通過加密器完成主要攻擊步驟，隨后通過解密器進行勒索。具體攻擊wannacry勒索病毒常見的解決方案參照圖中邏輯過程，分別為：（1）在病毒利用漏洞進入終端的過程中，工程師可以提前通過禁用端口的方式進行攔截：由于該病毒利用的ms17-010是針對windows操作

6、系統上的關于smB服務的漏洞，而該服務需要通過tcp445端口進行通信，因而禁用該端口即可完全阻止病毒利用漏洞入侵，而且該方法操作難度小，一般都可以熟練掌握。（2）通過打補丁對終端進行處理：針對ms17-010漏洞，微軟雖然在病毒爆發前放出了補丁，但并未得到使用者足夠重視及大規模的更新。伴隨病毒大規模爆發，企業、個人計算機使用者開始重新重視并下載該補丁。微軟面向所有操作系統均配備了對應版本的補丁，該方式能完全防御該病毒。（3）通過研究病毒樣本的發作機理及邏輯，防病毒工程師們發現該病毒存在一個類似后門的滅活開關，因為在感染后到啟動服務之間存在一個觸發邏輯為，判斷終端能否訪問iuqerfsodp9

7、ifjaposdfjhgosurijfaewrwergwea.，如不能訪問該域名則服務啟動，繼而開始攻擊。因而工程師可以在內部局域網中建立一個域名，搭建內部解析服務（Dnsserver）建議映射關系，將該域名地址解析到局域網webserver中一個合法的ip地址，使得內部局域網用戶可以訪問該域名，即可實現對病毒的免疫。（4）在攻擊邏輯中，加密器啟動后病毒程序會判斷染毒終端中是否已經有一個加密器程序存在，防止病毒程序重復運行互相產生干擾。因而，工程師們通過創建一個名為mswinZonescachecountermutexA的互斥體，通過誤導病毒程序，就可以使病毒運行之后自動退出，無法完成后續攻擊

8、步驟，部分殺毒軟件即使用了該辦法。在實際情況中，工作環境為內部局域網，一旦病毒在內網爆發，不論是文件共享機制下染毒文件極易傳播亦或是因工作需要導致防火墻訪問控制的限制較少，都對病毒傳播提供了便利條件。在獲取輿情及了解到該病毒的威脅后，信息化部門立即制定應急響應方案，并于24小時內完成了以下工作：（1）各部門的終端訪問控制設置為僅能訪問登錄認證服務器（基于linux）用于開機登錄。（2）通過聯系各部門的信息化負責人，講授如何關閉tcp445端口并實施。（3）下載補丁，根據服務器、計算機的操作系統版本進行鋪設及安裝。在確保內部局域網安全后，開放了訪問控制，并在后續工作中，團隊自互聯網獲取有關該病毒

9、的更為全面的介紹及分析，積極與國內知名防病毒廠商的工程師進行溝通獲得幫助，并及時對各服務器、計算機的殺毒軟件的病毒庫進行了針對勒索病毒的更新。5內部局域網病毒的防范與應對震網病毒及wannacry勒索病毒分別代表了兩種內部局域網中病毒爆發的途徑：據置信度較高的報道稱，震網病毒是歐美間諜進入伊朗核電站，經由介質（u盤）直接連接內網終端將病毒導入，自內部發作；而wannacry病毒經由互聯網傳播，病毒攻擊邏輯使得每個被感染終端均成為新的攻擊發起者，向若干隨機ip發送數據包，并最終侵入防范措施不得當的內部局域網。這兩種入侵途徑互為補充及衍生，即介質自內感染后病毒通過文件的導出會影響到互聯網；介質中病

10、毒也存在隨文件自外網導入內網的可能。從病毒的防范角度出發，需要做到：（1）嚴格控制文件的中轉導入，設置多重病毒查殺過程。（2）可通過物理封堵或軟件管控禁止內部局域網中的服務器、計算機能夠直接讀寫介質。（3）加強計算機使用者的防病毒意識，在高危病毒發作期間減少不必要的文件傳遞，一旦出現感染情況應當立即報備信息化責任部門進行處理，條件允許則立即作脫網處理。（4）提高使用者防范計算機病毒的意識。從病毒的應對角度開展應急工作，需要做到：（1）“化整為零”，將內部局域網以設備為個體進行拆分，除特殊情況外避免設備之間存在通信可能。（2）完成內部局域網設備加固前，不建議進行文件的中轉導入。（3）通過研究病毒的發作機理及攻擊邏輯，制定有效的防范措施。（4）對疑似或已經染毒的設備立即進行物理隔離，并調查該設備近期文件傳遞情況，將與之產生過通信的設備進行排查。如能定位染毒文件則追溯染毒文件來源并跟進處理。（5）與防病毒廠商積極溝通，獲取解決辦法及病毒庫的及時升級。依靠嚴格的管控機制及物理隔離，使內部局域網工作環境中的設備不暴露于互聯網環境下；通過運用有效的防病毒軟件對網絡定期進行檢查及隱患消除；建立完善的應急響應預案，于突發狀況中快速反應，保障網絡安全。可使得內部局域網在應對各類計算機病毒