僵木蠕病毒快速处置建议
- 一、僵木蠕病毒自查
- 二、僵木蠕病毒快速处置建议
-
- 1、杀毒软件全面查杀
- 2、安全DNS自动拦截
- 3、自建DNS服务器拦截
- 4、防火墙策略阻断
- 5、动态或局域网IP上网
一、僵木蠕病毒自查
微步在线X情报社区(https://x.threatbook.com)或奇安信威胁情报中心(https://ti.qianxin.com/)输入IP、域名信息即可查询。
注:IOCtag信息仅表示恶意家族或攻击团伙历史上曾使用过该基础设施,非实时更新。
二、僵木蠕病毒快速处置建议
1、杀毒软件全面查杀
对使用该IP上网的所有终端使用杀毒软件进行全面查杀。确保每个终端都安装杀毒软件。以下是免费杀毒软件推荐,选择适合的一种安装即可(同时安装多个杀毒软件将影响终端性能):
| 杀毒软件 | 链接 | 适用范围 |
|---|---|---|
| 火绒 | https://www.huorong.cn/person5.html | 终端数量少,无集中管理需要 |
| 腾讯电脑管家小团队版 | https://team.qq.com/group/create#/ | 终端数量500台以内,有集中管理需要(永久免费) |
| 金山毒霸团队版 | https://team.duba.net/index/ | 终端数量500台以上,有集中管理需要(永久免费) |
火绒杀毒软件,推荐下载完整版,含广告拦截。
服务器同时使用360高危漏洞免疫工具(https://weishi.360.cn/mianyigongju.html )进行全面免疫。
以OneDNS为例(https://onedns.net/),将原路由器、交换机、网关、防火墙等DHCP自动分配的普通DNS修改为带拦截功能的安全DNS,推荐使用家庭版,DNS:117.50.60.30,52.80.80.30。
如何测试配置生效/strong>
点击测试链接http://test.onedns.net(请放心,这是一个无害的测试页面),如果看到如下图拦截页面,则证明OneDNS正在运行。
一些恶意域名和IP(仅供测试)
webmine.cz
www.sulapreaplace.club
www.angelinachilds.com
www.jacobstott.club
download.glzip.cn
i.kpzip.com
3、自建DNS服务器拦截
使用闲置的服务器或虚拟机搭建DNS服务器,使用拦截规则阻断恶意域名外联,以AdGuard Home为例,搭建教程参考 Anolis OS龙蜥操作系统安装AdGuard Home教程。
添加自定义过滤规则,清单参考腾讯文档: 远控域名清单
通过查看会话日志,根据策略ID迅速定位异常终端IP地址。
在终端上查看计划任务表以及进程,是否有异常情况,再使用多种专杀工具交替查杀,确保病毒被查杀且无遗漏,防火墙木马阻断策略也不再增加匹配次数。
5、动态或局域网IP上网
如非必须使用固定IP(互联网专线等)上网,则使用动态IP(普通宽带)或局域网(如电子政务外网)等替代上网。
来源:iokla
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!