熊猫烧香肆虐税务网络无人管,小小合同工浴血擒魔
我07年初发网上的,A就是小钱 B是小沈 C是T股长http://home.q.yesky.com/space-1664667-do-blog-id-239715.html
我是沿海发达地区某镇地方税务所的一名助征员,疯狂钻研电脑应用维护十多年了,业余时间就喜欢一个人在家鼓捣电脑。全所人员电脑应用水平普遍薄弱,经常替网管维护电脑,周围同事尤其是助征员经常请教我电脑问题,我几乎都能解决。尽管有着高深的电脑知识,我还是相当相当谦虚的,反而经常接受我帮助的同事会就电脑技术问题质疑我,或开些玩笑贬低我,有时竟毫无根据的开玩笑说是我造成故障的。
12月31日十时许,A问我很奇怪为什么EXCEL无法执行,我走近一看OFFICE提示需要安装,看来他从来没遇到过这现象。我知道统一安装的诺顿企业版 10客户端的特征库是12月3日的,为何县局信息中心那么不负责任,下半年已来网上病毒肆虐,虽然内外网物理隔离,但极少数人可以上外网,需要工作时再接入内网,风险很大。正巧昨天30日上午帮朋友杀病毒时第一次知道了熊猫烧香病毒,感染的可执行文件都变熊猫了,很厉害的!30日晚上上网查了几小时(只是对此感兴趣,朋友的电脑重装后暂时解决了,非系统盘的熊猫不执行就可以,我已经放手不管了),又因为此朋友是财政系统的,和我们一个网,就猜测是此病毒了。我不大愿意帮他,就说电脑也头疼脑热了。看我如此就转而求助另一位计算机专业毕业的正式工B,也说重装OFFICE,重装过程非常慢,系统反应迟钝,不顺利,A又告诉大家右下角的诺顿不见了,我心想很可能是熊猫了,我上去打开任务管理器,还可以用,马马虎虎看看,也没看到可疑进程(我只是想知道这个特征是否对上,并不想处理)。尽管未说病毒,但我提醒他用GHOST还原系统,他重启到矮人DOS,他反映在E根下的GHO文件找不到了,印象中没删除过啊,我暗自好笑。退出矮人DOS返回XP,我全盘查找果然找不到一个,*.GHO这样查找他都不会,还有,我记得某目录下还有一个很早以前制作的GHO,是不是非根下的也不能幸免。他只好再次重装OFFICE XP,直到下班也没安装好。下午全所开会,只有A留守接待纳税人,我开会遇到网管说A电脑有大麻烦,最好帮忙看看。半年前我部门10多人已搬离原税务所,车程约5分钟,网管几乎没来维护过电脑,基本都有我做了,还有极小部分由略懂电脑的正式工C还有B完成。
4日一早上班,大家都发现管理信息系统不对劲,常常没了反应,PING服务器,经常断线。为使用EXCEL,A需要经常重装OFFICE,好在几秒就够了,很快。我试了任务管理器,刚弹出就被关,A机器“新工作”完全共享目录出现GAMESETUP.EXE,A只开了这一个共享,子目录有十多个,文件数十个,供大家共同编辑。我悄无声息的在共享目录中复制出了GAMESETUP.EXE, 第一次采集到样本。我自己装的NAV2002已更新到12月27日,检测出是W32.FUJACKS.B,果然是熊猫烧香,但怎么没出现熊猫图标,我很纳闷。“新工作”各子文件夹有隐藏文件desktop_.ini,可以据此判断中毒日期。尽管我只是称可能中毒,但下午我大张旗鼓打信息中心电话要求更新特征库,不巧开会了,没人。我们合同工都挺胆小的。隔壁办公室D的机子WORD、EXCEL无法使用,来求助我,我说去找网管,无奈只好问B。后来知道始终无法使用,难道重装会失败,我不知道。OFFCE是GHOST XP自带的,可能不是2000版本,其他机器通常安装的都是局服务器上的OFFICE 2000专业版。
5日下午我忍不住了(A好几次都跟我说,你不动手我们照样也解决了),表示两人很可能中病毒了,并且拿出优盘插到A机器,马上生成SETUP.EXE和AUTORUN.INF隐藏文件,第二次采集样本。B样竟笑着要阻止我,说你优盘不要带病毒来传染我。我搜索EXE文件,告诉大家中毒时间在31日上午9时35分,并宣称中毒文件至少100个(其实可以一个不错的)。A报告了网管,始终没有过来。这帮B样,果然又开玩笑问是不是我放出来的病毒。A试图在安全模式下执行诺顿,执行了10多次,每次只显示2秒钟,根本来不及找到扫描按钮,怎么能成功呢?
9日,一早,A从家里带了AVP 6,决定自己杀,我提示可以从另一机器复制GHO文件就可以重装了。其实我是想知道病毒是不是会删除它,果真如此,这帮白痴不会知道改扩展名的方法,机子没光驱的,他们也就没招了。A很快还原了系统,立即安装AVP,无法解决更新,杀不出病毒。好在主动防御起了作用,病毒未侵入系统,当然非系统盘都是染毒文件。下午,A带了8日的离线更新包和说明,更新时又请教我,我说我家里也没用AVP,你不是一直使用它的,自己解决。全盘扫描,顺利杀除,名称Worm.Win32.Viking.dz。C盘只一个就是C:\WINDOWS\system32\drivers\spoclsv.exe 67.4 KB
我在5日的判断是正确的,总共480个染毒文件,全都是可执行文件,图标并没有变熊猫,原样。还有不少未被感染的可执行文件。
10日,上午,A使用同样方法帮D清除了病毒。
A、D的操作系统都是我安装的,JUJUMAO GHOSTXP 2004年10月,A机的安装日期06年10月,安装有少量软件。D是电脑盲,安装日期是06年6月。
13日,今天第一次上AVP的网站,看了一阵后点入Virus Watch,输入前阵子单位里感染的病毒VIKING.DZ,大惊!竟然显示截获时间在12-28,16:21。
18日,县局网站才贴出病毒预警以及清除方法。20多号才更新了特征库。
BS信息中心副主任和上海信息化服务热线。
12月31日,同事中了熊猫烧香,症状都符合,但没有熊猫图标。我默默无闻帮忙杀除(好象都对我有意见,因为一开始我就没动手),其实除了我没人知道是病毒传入了。几天之后,隔壁又中了4台,顺利杀除。县局信息中心发出预警已是1月16日了,全网共150台电脑,到了2月初才清除干净,因为完全共享目录的 DESKTOP_.INI最后修改日期是2月6日。直到2月28日,我才打电话给县局信息中心副主任,表示我部门在1月初就杀除了,并描述特征,竟说可能不是,周围同事也第一次听到我说出此毒就是“熊猫烧香”(10日隔壁的D杀毒时我指着AVP报的VIKING.DZ说是2006年毒王威金,没人听说过)。打电话到上海信息化服务热线,也说可能不是熊猫烧香。10分钟后再打过去,又说一遍并补充了内容也说吃不准,还说熊猫跟威金没关系。
我非常吃惊!马上又打电话到《电脑报》报社,很好!我才说了3、4个症状就确定了。又打电话到《电脑爱好者》杂志社,也是很快就确认,并要我发样本,写下发作特征。晚上回家后就写,由于并非我全程处理,在原来笔记的基础上补充了95%。
EXCEL出故障我就猜测是此病毒,诺顿监控被关,基本就确定是熊猫烧香了,GHO文件丢失,99%了。12-27日的NAV只能删除,无法清除,也许更新到1月15日还是如此。其实早有文章提醒大家遇此病毒不用重装,我认为重装系统根本就不叫杀毒。我有良好的操作习惯。使用资源管理器,从来不隐藏任何文件,从来不隐藏扩展名,开防火墙,重要数据都作备份。
A家里02年夏天购置电脑并上网,03年底进我单位时电脑技术还很差,家里也常上网看电影,玩玩游戏,下载些软件,只是英语太差,GHOST的操作都看不懂,是记1-2-3,1-2-2这样子的。电大企业管理大专98年毕业,有一门计算机应用基础。我的电脑知识几乎都是自学的,不请教别人的。 小钱更新AVP时遇到不少困难,化了很长时间。未开通外网,小钱差点要把电脑搬到不远处隔壁公司借用网络。
“9日,一早,A从家里带了 ……” 试验证明,GHO文件并未被删除,小黄电脑与小钱配置相同,我要小黄把GHO文件复制到E根下“新工作”共享目录后,进DOS可以看到。只是小钱在ghost操作中找不到了img了(中文变乱码,何况根下他能操作,浏览文件夹就不会了),又请我看,我上去试了乱码文件夹(根下大多是中文的文件夹),小黄又开玩笑说,我阴谋得逞,电脑中隐私被我得见了。
1-9
在操作小钱电脑时感觉鼠标特别不听使唤,打开后果然积了很多灰尘,听他说进单位3年了从没清洁过,家里2002年的电脑也需要了。
小钱在AVP查出病毒后一个个右击后点处理,再点清除,都3百多了还有两成进度。我上去一试,SHIFT全选是可以的,教之。WORM.W32.VIKING.DZ病毒大多加参数/fsg
[ Edited byfttb888 on 2009-6-4 13:20 ] 是新起的连载还是以前的续集? ===========
就目前来说,我所知道的省级以下的大部分国家机关的信息安全工作,很令人难以置信的不放心。
回复 #4 jarodpeach 的帖子
都是 都是 先留名再看贴。强人又回来了!
回复 #5 song_1118 的帖子
是啊!系统装好后没继续打补丁。 不明白什么意思装牛么? 我靠,牛人归来了。。。 啥意思啊!?狗都快灭,还谈什么猫。 Posted by song_1118 on 2009-6-3 19:49 http://www.ibmnb.com/images/common/back.gif
===========
就目前来说,我所知道的省级以下的大部分国家机关的信息安全工作,很令人难以置信的不放心。
呵呵,实情实情 lz,考个职称吧,这样都好 这兄弟又来了,真的,让我怎么说你好呢
眼含热泪,拉着您的手,深情地对您说:兄弟,你太不容易了,去看看心理医生吧,我求您了.
在这里,尤其是51nb的技术区,10有89的兄弟都是从dos摸爬滚打过来的,还记得卖油翁的老头说什么了吗?我亦无他,唯手熟尔。您把心态放平和点,愿意帮就帮,帮了也不要说什么,求您了,行不? Posted by 莲花山 on 2009-6-4 11:26 http://www.ibmnb.com/images/common/back.gif
这兄弟又来了,真的,让我怎么说你好呢
眼含热泪,拉着您的手,深情地对您说:兄弟,你太不容易了,去看看心理医生吧,我求您了.
在这里,尤其是51nb的技术区,10有89的兄弟都是从dos摸爬滚打过来的,还记得卖油翁的 ...
我是看标题进来的。上面的引用也是合适的。 Posted by 莲花山 on 2009-6-4 11:26 http://www.ibmnb.com/images/common/back.gif
这兄弟又来了,真的,让我怎么说你好呢
眼含热泪,拉着您的手,深情地对您说:兄弟,你太不容易了,去看看心理医生吧,我求您了.
在这里,尤其是51nb的技术区,10有89的兄弟都是从dos摸爬滚打过来的,还记得卖油翁的 ...
花哥,这话估计兰州听了不止几百遍了,估计你这遍也会左耳朵进右耳朵出的。。。 1-9
在操作小钱电脑时感觉鼠标特别不听使唤,打开后果然积了很多灰尘,听他说进单位3年了从没清洁过,家里2002年的电脑也需要了。
小钱在AVP查出病毒后一个个右击后点处理,再点清除,都3百多了还有两成进度。我上去一试,SHIFT全选是可以的,教之。WORM.W32.VIKING.DZ病毒大多加参数/fsg 楼主自己把自己贬低了 LZ又回来了~~~~激动呀
:D :D :D 多谢!多谢!我不想做招之即来,挥之即去的修理工,可以看出,除非啥都不懂,不然你的任何操作都可能被中断、推倒。
1-11
下午小钱问我为何无法更新AVP,我说8日的病毒库够了。(又从家带了10日的,整个上午无法更新)
下午3时许,隔壁C(女,年近40,电脑盲,常请教我)跑进来着急的对小钱说:“哎呀呀!我的文档也打不开了。一定也中毒了,快来帮我杀。”又冲我开玩笑:“是不是你带进的病毒”“何以见得?”“你水平最好了,除掉可以显的你本事大呀!”小钱一听是win98系统,无奈的拒绝她。我过去一查看,215个文件染毒,是昨天13:58中的。她的搭档(半年前新进的05届工商管理本科毕业的小W,合用电脑的)责备说,要你小心不要好奇点击那个安装文件(指别人的共享文件夹下GAMESETUP.EXE),你看现在……。E盘有我在2004年做的GHO文件,使用FINALDATA无法恢复。不知何时起这电脑无法把盘共享,我决定拆硬盘挂我的电脑杀,这种方法我从未听说也从未试过,但多年前有这样的判断。刚进桌面,nav弹出报警,原来是本人的office2000装在d区programs files下,盘符交错原因,当前d区实为她的c区,启动组的快速启动调用了她的病毒程序。故而我大声宣布,本人可真是跳进火坑救你呀!差点把自个也搭上啊!NAV可以查出但无法修复。共享了用另台机子的AVP杀(小钱的)。网络杀毒太慢,离下班不到半小时才杀了一大半,估计来不及了。默认扫描所有文件,要小钱改到第3项只程序和文档(根据扩展名),非要反对我,把我气坏了。让小钱停止杀毒,因为剩的那些程序也用不到,使nav都删除了。在下班前装回,第二天C又来要我解决office无法执行问题,我说要小W重装即可,还要问我干吗?重装果然就可以了,正常使用直到去年换xp。小W于07年7月跳槽前一周,才配给他一台piii 600的电脑。
[ Edited byfttb888 on 2009-6-4 17:58 ] 这位老兄继续无视大家的规劝,继续开工!
我会经常来看你的,放心的去吧 ai yamaya ,娱乐贴从技术区搬到WIN区来了啊! 哈哈,强人归来,占位占位!甭管他是大钱还是小钱! LZ WS 别人的劝解 :D :D :D 过来捧场^u^ 现近40岁,大钱吧! 围观 :) :) :) :) :) :) :) :) :)
:) :) :) :) :) :) :) :) :)
:) :) :) :) :) :) :) :) :) :) :) :) :) :) :)
:) :) :) 著名的51nb网友fttb888(冯唐头白,搜狗拼音直接输入得到的)的帖子,不得不顶