检测到 [SID: 23179] MSRPC Server Service BO。 已禁止来自此应用程序的通信: C:/WINDOWS/system32/ntoskrnl.exe 解决办法

 

Sep 报 ntoskrnl 通信被禁止处理方法

 

1，  病毒日志 :

检测到 [SID: 23179] MSRPC Server Service BO 。

已禁止来自此应用程序的通信 : C:/WINDOWS/system32/ntoskrnl.exe

解读 :

该条日志表示来自于外部的应用程序通过 MSRPC 协议访问本地的程序 ntoskrnl.exe 时 , 由于检测到攻击行为被 SEP 的入侵防护功能所阻断

2，  病毒介绍 :

请参见如下网址 , 该病毒存在 abcd 四种变种 , 我所模拟的是 b 变种

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Worm%3aWin32%2fConficker.B

说明 :

该蠕虫病毒类似于之前的震荡波和冲击波病毒 , 利用 rpc 协议进行远程溢出 , 执行远程控制 . 被攻击主机在没有防护的条件下会导致 svchost 服务异常 , 多个服务停止 , 最终只是服务器运营异常 .

3，  病毒文件 :

病毒会在 c:/windows/system32 文件夹下产生一个随机文件名的动态库文件

4，  杀毒软件

经过近两天的实际测试几乎绝大部分杀毒软件都不能有效检测出该蠕虫病毒并进行清除 .

5，  清除工具 :

微软恶意软件删除工具 , 它是目前经过验证的唯一有效工具 .

下载地址 :

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356

6，  清除方法 :

双击 windows-kb890830-v3.14.exe, 启动扫描 , 完成后会自动清除该蠕虫病毒

7，  如下是被攻击主机的日志 :

 

8，  如下是微软恶意软件扫描处理结果

 

9，  预防措施

安装 kb958644 系统补丁 (ms08-076).

提示 : 安装过该补丁的系统能抵御此类远程攻击 , 但是不能抵御该类蠕虫感染 .

10，              建议

通过与策略或者 wsus 服务器部署恶意删除工具到客户端 .