中午，前台mm跟我说，mcafee的报警窗口出现很多的病毒提示，显示杀掉了，但是提示还是不停的出来。当时看到提示就是lovgate.r@mm病毒蠕虫（老病毒，现在还有，奇怪！）。因为该MM的机器是打印共享，估计是为了方便大家使用，没有设置密码。后来一看果然如此，开了guest用户，没有密码，还有个print用户也没有密码，还是administrators权限账号。迅速地加强密码，查毒。正常。
正在得意，忽然想起忘记搜集病毒样本了。懊悔！！！对不起坛子里广大的XDJM！

午饭后，公司网络出现运行缓慢现象，部分工作站上游戏网站连接超时。联想到中午的事情，估计是那个病毒在公司传开了。打开sniffer，开始搜集信息。

其中有三台机器有嫌疑，其中111的和嫌疑最大，其扫描的地址段为连续的地址，对其进行定向跟踪抓包。

发现有大量的NETBIOS访问：

赫赫，图贴错了，对不起咯

查看代码，是该机对连续网段的机器进行139和445的访问，估计是在进行空连接扫描，如果扫描到的工作站本身的系统帐号不够强壮的话就进行感染。

到该工作站查看，该机的病毒库程序从安装后就没有升级，但是hosts并没有被修改，估计这家伙太懒。（公司就他一个人为了考趋势认证装了趋势，估计他还不会设置）查看进程，发现有个后缀名为scr的可疑进程，直接中止该进程，该工作站停止主动扫描连接。（有些病毒可能不能直接中止进程，我们可以使用工具强行删除该进程，工具在附件中有）

中止进程后，通过文件的查找，将文件打包压缩（留做病毒样本），然后直接到目录中删除该文件，问他系统帐号情况，也有一个没有设置密码的admin，加强帐号的强度，在接下来的5分钟观察中一切正常。
将该病毒样本在我的机器上使用，即便是关了防毒软件，也没有出现同事这样的扫描情况，奇怪！
按照以上的病毒处理方式处理另外两台电脑，网络正常。

病毒介绍：
病毒名称:W32.Lovgate.R@mm 爱情后门最新变种.
w32.lovgate.r@mm爱情后门最新变种。大小约为125K，采用ASPACK2.12压缩。
病毒被执行以后在system32目录下生成了以下文件：
hxdef.exe
install.rar
letter.rar
pass.rar
setup.rar
work.rar
autorun.inf
command.exe
还可能使硬盘双击不能打开，变为自动播放等。这样的话所有感染的exe也运行不了。因为exe已是病毒替换过的文件，而真正的exe文件是同名的.zmx文件。
通过以上事情，我们应当加强本机的系统帐号强度，要不下一个可能就是你咯。
附件中的包是针对111的包，该兄弟本来在QQ(8000、4000端口),在知道有病毒的情款后到趋势网站下载升级包，还有就是我在本地对他进行病毒扫描。这些在数据包中都有的。

也不知说得对不对，大家多指教指教咯！

doc文档
定向获取的包

病毒样本（netexpert）
强行中止进程工具（杀毒人员必备之良器）

传完了，鉴于本人使用sniffer刚入门，大家不要笑话咯！

分析的很好,谢谢

很好的经验分享，顺便提一句，对于这种的病毒，网络共享文件夹一定要设置好权限。否则毒源没查尽的话，老是会感染。

引用:

Originally posted by dahliawoo at 2005-6-7 07:54 PM:
很好的经验分享，顺便提一句，对于这种的病毒，网络共享文件夹一定要设置好权限。否则毒源没查尽的话，老是会感染。

收到！

总结：
1、本机的账号一定要强壮，不能没有密码，也不能为123等，现在很多恶意程序本身携带有小型字典库；
2、设置共享，一般都不要设置可写，这样别人感染病毒的机器在访问你时受感染的可能性教小；
3、如果没有共享打印机，NT架构系统最好不要安装“打印共享”，很多病毒可以通过这种方式传播，不久前的一个单位共享打印机会自动打印小字节的文件，就是病毒向密码强度低的可写网络共享写文件，打印机认同为打印作业来处理。

在2000的系统下，俺都用这个命令来查杀不可真接关闭的进程：

      ntsd -c q -p PID 　　

　　只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出(q)，用-c参数从命令行传递就行了。Ntsd 按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。


分析的非常全面，处理方法和解决方案描述的很清楚，方便大伙借鉴！
鼓励原创，加精！！！！！！

引用:

Originally posted by jingshne at 2005-6-8 08:52:
在2000的系统下，俺都用这个命令来查杀不可真接关闭的进程：

      ntsd -c q -p PID 　　

　　只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。nt ...

这个我现在长期用,,只要是2000以上,都管用

对我们管理网络确实有所帮助

我在xp 下用netstat -ano + tasklist + tskil

顺便问一下，我们公司的网络拓扑是一个光猫下接了一个小路由，无镜像功能，下面又接了一个16口的交换机，我想使用协议分析软件，应该在那个位置使用较合适呢？