电脑中毒处置

文章导航

× 文章目录

1. 1. 通报内容
2. 2. 事件排查及发生原因
   1. 2.1. 设备确认
   2. 2.2. IP反查
   3. 2.3. 浏览行为检查
   4. 2.4. 发生原因
3. 3. 损失及危害情况
4. 4. 事件处理过程及处置结果
   1. 4.1. 在线沙箱测试
   2. 4.2. 全盘病毒查杀
   3. 4.3. 电脑系统重置
5. 5. 总结

研一暑假电脑中毒被通报了，以下是我的排查过程和反馈报告，引以为戒吧。

通报内容

安全事件名称：（10.xx.xx.xx/xx.xx.xx.xx）对应的系统存在 “后门-病毒感染”隐患

安全事件类别：系统后门

接收到整改通知时间：2022年8月15日

事件排查及发生原因

设备确认

查看电脑mac地址，与通报中设备匹配。

IP反查

使用IP反查网站，定位到通报中的控制端IP对应的域名，因为控制端端口为80，可以初步认定是HTTP服务端口。

恶意IP对应的域名为：cdr.jyxwlkj.cn

经过浏览器查询，此域名为有害网站：

浏览行为检查

因为此端口对应的是HTTP服务，所以从浏览器访问历史中查询对应域名的访问情况，果然：

发生原因

如下图所示，我在2022年8月9日进行科研工作中需要对二进制格式文件进行查看，于是准备下载Ultraedit软件。

但是没有从正规网站进行下载，点进了百度推荐的第一个链接，其域名为：

http://cdr.jyxwlkj.cn/ue-ultraedit.html

下载链接为：

http://cdr.jyxwlkj.cn/package/ultraedit.zip

下载的软件包含恶意木马程序，在安装完成后的8月10日，此软件中包含的木马后门进行了恶意外联并被安全部门发现。

损失及危害情况

经检查，本机电脑内数据未被加密篡改，经过查看本机网络日志，本机数据没有泄漏。实验室敏感数据平时并未存放于本机，通过服务器远程连接进行操作，所以对于敏感数据未造成泄漏。

事件处理过程及处置结果

在线沙箱测试

通过对下载的恶意文件使用在线平台进行沙箱测试，我还原了此软件进行逐步渗透并部署木马程序的过程：

1）综合评判：存在木马病毒

2）HTTP连接情况：恶意外联

全盘病毒查杀

检测到了3个安全风险，其中两个和此恶意软件有关，一个是下载的初始压缩包、一个是解压后的exe软件。另外还有一个盗版软件隐患：

已经对这些风险进行了全部处理。

电脑系统重置

为保证电脑中不存在未被发现的隐患，我在对数据进行备份的基础上对整个系统进行了重置，从根源上杀灭了可能存在的安全隐患。

总结

此事件根源上是我网络安全意识不强、存在不良上网习惯造成的。我一定吸取教训、引以为戒，从正规渠道下载正版软件，定期对设备进行检查。