方案一:重装系统
为了快速恢复办公系统安全,不影响后期的办公/生产。对重装系统环境不影响目前办公/生产的设备环境,建议批量重装系统,快速无危害办公/生产系统环境。
方案二:木马清除
-
安装Mcafee终端,并更新最新病毒特征库;利用Mcafee终端进行全盘查杀,实现木马清除。
-
利用微步自研工具findvirus_old,将报警恶意域名放置到findvirus_old目录下的virus.txt中的 $a1 = "恶意域名",保存virus.txt,运行同目录下的findvirus.exe,定位系统进程内存中存在恶意域名的可疑进程映像路径和PID。
-
利用微软取证工具包(SysInternalSuite)中的procexp.exe找到findvirus.exe定位到的进程名称,进行排查确定木马进程。
-
通过定位到木马进程映像路径目录,找到与木马同大小(本次是Python程序图标)文件和m2.ps1文件。
-
利用微软取证工具包(SysInternalSuite)中的autoruns.exe,通过木马进程名称查找匹配找到关联的服务项,删除相关注册表相,任务计划表中,名称不规则,映像路径为Windows目录的服务也无需要结合4研判是否查杀。本次木马是在task目录下的创建任务计划方式实现长期自启动。具备感染源的设备,同时,在任务计划列表中创建隐藏任务计划Bluetool项,实现在每日9:00后,每50分钟重启一次。此任务计划需要删除。
-
结束3定位到的木马进程,清除4定位木马文件
安全加固
-
设置11位强密码(包含大小写字母,数字,特殊字符, 并按产线加以区分)。
-
IT网站下载对应系统补丁下载并安装。路径:IT网站软件下载页面 -> 操作系统 -> 安全补丁 -> 选择对应的操作系统的最新补丁下载->双击安装。
-
IT网站下载安装Mcafee,更新病毒库,并进行首次扫描功能性验证。
-
开启防火墙策略,封堵445,139端口。