第一次病毒爆发感想

          一直以来以为网络安全没有什么东西，真正遇到了才知道已经晚了，养兵千日，用兵一时啊～

           这算是我进入职业生涯以来的第一次遇到这么大的场面，内网内出现大规模的蠕虫病毒爆发，w32.downadup.b,出现的症状就是不停的锁帐号，有人也许会要说，锁了帐号再解开好了，上千个帐号解解实施看呢～

           新年上班的第二天，一切跟往常一样，然后接到user的电话，说是帐号一直被锁定，然后就不停的解开，主管说是前几天动了网域内的密码安全策略，密码复杂性降低了，会跟现有的密码有冲突，于是把密码复杂性取消掉，仍然没有作用，怎么办呢？

           到了下午发现帐号被锁还是一直在持续下去，开始怀疑是病毒作怪，就跟symantec台湾支持联系，打开客户端的symantec，在杀毒日志中发现了w32.downadup.b，然后在多打开几台电脑，发现都存在该种病毒，基本上确认是该病毒导致的问题

       w32.downadup.b主要是来攻击windows远程登录的，具体的可以到symantec的官网上面去查看一下

        根据symantec的技术支持，现在基本上已经能控制该类病毒了，我们主要做了这几 个方面的工作：

        1.设置域密码的登录锁定次数为0（之前为登录锁定次数为3，不能将该策略设置为尚未设定，这样的话，之前的组策略无法生效，这一点很重要）

        2.开启域安全策略的稽核功能，打开登录登出安全记录   ，查看AD的安全性中的登录失败记录，然后进行病毒源处理

       3.发送symantec主控制台的log日志给symantec技术支持，通过分析日志，找出病毒源

        目前该类方法还在测试中～

        在没有技术支持的情况下，我也尝试的做了一些动作：

        1.到网上搜索该类病毒的相关信息，了解病毒的攻击机制，像我们这次的病毒就是利用windows安全漏洞，进行远程攻击

        2.登录有问题的客户机器，查看该机器的事件管理器的安全记录，获取相关的攻击信息

        3.利用sniffer对网络进行抓包，将流量比较大的几台机器抓出来分析，尽管该类病毒对网络造成的影响并不大，但是我用sniffer抓出来的机器跟后来symantec发给我的IP地址进行比对，也有80%的接近

        目前该类病毒已经得到了控制，但是还没有消除，工作还要继续做下去，总之，从这次事件中，还是有一点收获的：

        1.对组策略方面还要加强，对于要取消的组策略，千万要注意不要直接设置成尚未设定，这也是组策略的一点基础知识

        2.多观察局域网内的病毒发作情况，事实发现这次的爆发是有征兆的，主要是我们公司之前用的诺顿10.1的版本大部分没有升级完成，大部分被感染的电脑的病毒都是由于客户端的电脑的杀毒软件的问题

         3.公司内的wsus的升级还是必要的，或者有什么软件分发的网管工具可以极大的提高工作效率的