電腦中了僵尸網(wǎng)絡(luò)怎么辦？

第一劍：采用Web過(guò)濾服務(wù)

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：國(guó)際域名空間、雅安服務(wù)器托管、營(yíng)銷軟件、網(wǎng)站建設(shè)、五指山網(wǎng)站維護(hù)、網(wǎng)站推廣。

Web過(guò)濾服務(wù)是迎戰(zhàn)僵尸網(wǎng)絡(luò)的最有力武器。這些服務(wù)掃描Web站點(diǎn)發(fā)出的不正常的行為，或者掃描已知的惡意活動(dòng)，并且阻止這些站點(diǎn)與用戶接觸。

第二劍：轉(zhuǎn)換瀏覽器

防止僵尸網(wǎng)絡(luò)感染的另一種策略是瀏覽器的標(biāo)準(zhǔn)化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox。當(dāng)然這兩者確實(shí)是最流行的，不過(guò)正因?yàn)槿绱?，惡意軟件作者們通常也?lè)意為它們編寫代碼。

第三劍：禁用腳本

另一個(gè)更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時(shí)候這會(huì)不利于工作效率，特別是如果雇員們?cè)谄涔ぷ髦惺褂昧硕ㄖ频?、基于Web的應(yīng)用程序時(shí)，更是這樣。

第四劍：部署入侵檢測(cè)和入侵防御系統(tǒng)

另一種方法是調(diào)整你的IDS(入侵檢測(cè)系統(tǒng))和IPS(入侵防御系統(tǒng))，使之查找有僵尸特征的活動(dòng)。例如，重復(fù)性的與外部的IP地址連接或非法的DNS地址連接都是相當(dāng)可疑的。另一個(gè)可以揭示僵尸的征兆是在一個(gè)機(jī)器中SSL通信的突然上升，特別是在某些端口上更是這樣。這就可能表明一個(gè)僵尸控制的通道已經(jīng)被激活了。您需要找到那些將電子郵件路由到其它服務(wù)器而不是路由到您自己的電子郵件服務(wù)器的機(jī)器，它們也是可疑的。

第五劍：保護(hù)用戶生成的內(nèi)容

還應(yīng)該保護(hù)你的WEB操作人員，使其避免成為“稀里糊涂”的惡意軟件犯罪的幫兇。如果你并沒(méi)有朝著WEB 2.0社會(huì)網(wǎng)絡(luò)邁進(jìn)，你公司的公共博客和論壇就應(yīng)該限制為只能使用文本方式。如果你的站點(diǎn)需要讓會(huì)員或用戶交換文件，就應(yīng)該進(jìn)行設(shè)置，使其只允許有限的和相對(duì)安全的文件類型，如那些以.jpeg或mp3為擴(kuò)展名的文件。(不過(guò)，惡意軟件的作者們已經(jīng)開(kāi)始針對(duì)MP3等播放器類型，編寫了若干蠕蟲(chóng)。而且隨著其技術(shù)水平的發(fā)現(xiàn)，有可能原來(lái)安全的文件類型也會(huì)成為惡意軟件的幫兇。)

第六劍：使用補(bǔ)救工具

如果你發(fā)現(xiàn)了一臺(tái)被感染的計(jì)算機(jī)，那么一個(gè)臨時(shí)應(yīng)急的重要措施就是如何進(jìn)行補(bǔ)救。像Symantec等公司都宣稱，他們可以檢測(cè)并清除即使隱藏最深的rootkit感染。Symantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術(shù)的使用，特別是VxMS讓反病毒掃描器繞過(guò)Windows 的文件系統(tǒng)的API。(API是被操作系統(tǒng)所控制的，因此易于受到rootkit的操縱)。其它的反病毒廠商也都試圖保護(hù)系統(tǒng)免受rootkit的危害，如McAfee 和FSecure等。

電腦中了僵尸網(wǎng)絡(luò)怎么辦

僵尸網(wǎng)絡(luò)防御方法

如果一臺(tái)計(jì)算機(jī)受到了一個(gè)僵尸網(wǎng)絡(luò)的DoS攻擊，幾乎沒(méi)有什么選擇。一般來(lái)說(shuō)，僵尸網(wǎng)絡(luò)在地理上是分布式的，我們難于確定其攻擊計(jì)算機(jī)的模式。

被動(dòng)的操作系統(tǒng)指紋識(shí)別可以確認(rèn)源自僵尸網(wǎng)絡(luò)的攻擊，網(wǎng)絡(luò)管理員可以配置防火墻設(shè)備，使用被動(dòng)的操作系統(tǒng)指紋識(shí)別所獲得的信息，對(duì)僵尸網(wǎng)絡(luò)采取行動(dòng)。最佳的防御措施是利用安裝有專用硬件的入侵防御系統(tǒng)。

一些僵尸網(wǎng)絡(luò)使用免費(fèi)的DNS托管服務(wù)將一個(gè)子域指向一個(gè)窩藏“肉雞”的IRC服務(wù)器。雖然這些免費(fèi)的DNS服務(wù)自身并不發(fā)動(dòng)攻擊，但卻提供了參考點(diǎn)。清除這些服務(wù)可以破壞整個(gè)僵尸網(wǎng)絡(luò)。近來(lái)，有些公司想方設(shè)法清除這些域的子域。僵尸社團(tuán)將這種路由稱之為“空路由”，因?yàn)镈NS托管服務(wù)通常將攻擊性的子域重新定向到一個(gè)不可訪問(wèn)的IP地址上。

前述的僵尸服務(wù)器結(jié)構(gòu)有著固有的漏洞和問(wèn)題。例如，如果發(fā)現(xiàn)了一個(gè)擁有僵尸網(wǎng)絡(luò)通道的服務(wù)器，也會(huì)暴露其它的所有服務(wù)器和其它僵尸。如果一個(gè)僵尸網(wǎng)絡(luò)服務(wù)器缺乏冗余性，斷開(kāi)服務(wù)器將導(dǎo)致整個(gè)僵尸網(wǎng)絡(luò)崩潰。然而，IRC服務(wù)器軟件包括了一些掩飾其它服務(wù)器和僵尸的特性，所以發(fā)現(xiàn)一個(gè)通道未必會(huì)導(dǎo)致僵尸網(wǎng)絡(luò)的消亡。

基于主機(jī)的技術(shù)使用啟發(fā)式手段來(lái)確認(rèn)繞過(guò)傳統(tǒng)的反病毒機(jī)制的僵尸行為。而基于網(wǎng)絡(luò)的方法逐漸使用上述技術(shù)來(lái)關(guān)閉僵尸網(wǎng)絡(luò)賴以生存的服務(wù)器，如“空路由”的DNS項(xiàng)目，或者完全關(guān)閉IRC服務(wù)器。

但是，新一代的僵尸網(wǎng)絡(luò)幾乎完全都是P2P的，將命令和控制嵌入到僵尸網(wǎng)絡(luò)中，通過(guò)動(dòng)態(tài)更新和變化，僵尸網(wǎng)絡(luò)可以避免單個(gè)點(diǎn)的失效問(wèn)題。間諜軟件可以將所有可疑的口令用一種公鑰“硬編碼”到僵尸軟件中。只能通過(guò)僵尸控制者所掌握的私鑰，才能讀取僵尸網(wǎng)絡(luò)所捕獲的數(shù)據(jù)。

必須指出，新一代僵尸網(wǎng)絡(luò)能夠檢測(cè)可以分析其工作方式的企圖，并對(duì)其作出響應(yīng)。如大型的僵尸網(wǎng)絡(luò)在檢測(cè)到自己正在被分析研究時(shí)，甚至可以將研究者從網(wǎng)絡(luò)中斷開(kāi)。所以單位需要專業(yè)的僵尸網(wǎng)絡(luò)解決

僵尸網(wǎng)絡(luò)解決方案

好消息是在威脅不斷增長(zhǎng)時(shí)，防御力量也在快速反應(yīng)。如果你是一家大型企業(yè)的負(fù)責(zé)人，你可以使用一些商業(yè)產(chǎn)品或開(kāi)源產(chǎn)品，來(lái)對(duì)付這些威脅。

首先是FireEye的產(chǎn)品，它可以給出任何攻擊的清晰視圖，而無(wú)需求助于任何簽名。FireEye的虛擬機(jī)是私有的,這就減輕了攻擊者學(xué)會(huì)如何破壞這種虛擬機(jī)的危險(xiǎn)。FireEye可以識(shí)別僵尸網(wǎng)絡(luò)節(jié)點(diǎn)，阻止其與客戶端網(wǎng)絡(luò)的通信。這使得客戶的IT人員在FireEye發(fā)現(xiàn)僵尸網(wǎng)絡(luò)攻擊時(shí)就可以采取行動(dòng)，然后輕松地重新構(gòu)建被感染的系統(tǒng)。在網(wǎng)絡(luò)訪問(wèn)不太至關(guān)重要時(shí)，可以立即禁止受感染的機(jī)器。Damballa創(chuàng)建了其自己的技術(shù)來(lái)跟蹤并防御僵尸網(wǎng)絡(luò)。這家公司的Failsafe解決方案能夠確認(rèn)企業(yè)網(wǎng)絡(luò)內(nèi)的受損害的主機(jī)，而無(wú)需使用簽名技術(shù)或基于行為的技術(shù)。此外，SecureWorks和eEye Digital Security也擁有自己對(duì)付僵尸網(wǎng)絡(luò)的專用技術(shù)。

著名的大型公司，如谷歌等，不太可能被僵尸網(wǎng)絡(luò)擊垮。其原因很簡(jiǎn)單，它們主要依賴于分布式服務(wù)器。DDoS攻擊者將不得不征服這種全球性的分布式網(wǎng)絡(luò)，而這幾乎是不太可能的，因?yàn)檫@種網(wǎng)絡(luò)可以處理的數(shù)據(jù)量可達(dá)每秒鐘650Gb。小型公司可通過(guò)謹(jǐn)慎選擇其互聯(lián)網(wǎng)供應(yīng)商來(lái)防御DDoS攻擊，如果供應(yīng)商能夠在高速鏈路接入水平上確認(rèn)和過(guò)濾攻擊就是一個(gè)好主意。

不過(guò)，由于DDoS攻擊活動(dòng)太容易被發(fā)現(xiàn)而且強(qiáng)度大，防御者很容易將其隔離并清除僵尸網(wǎng)絡(luò)。犯罪組織典型情況下會(huì)保留其資源用于那種既可為其帶來(lái)更多金錢又能將暴露程度減少到最小的任務(wù)中。

如何清除僵尸網(wǎng)絡(luò)威脅

僵尸病毒 僵尸網(wǎng)絡(luò)病毒，通過(guò)連接IRC服務(wù)器進(jìn)行通信從而控制被攻陷的計(jì)算機(jī)。僵尸網(wǎng)絡(luò)(英文名稱叫BotNet)，是互聯(lián)網(wǎng)上受到黑客集中控制的一群計(jì)算機(jī)，往往被黑客用來(lái)發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，如分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等，同時(shí)黑客控制的這些計(jì)算機(jī)所保存的信息也都可被黑客隨意“取用”。因此，不論是對(duì)網(wǎng)絡(luò)安全運(yùn)行還是用戶數(shù)據(jù)安全的保護(hù)來(lái)說(shuō)，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。僵尸網(wǎng)絡(luò)的威脅也因此成為目前一個(gè)國(guó)際上十分關(guān)注的問(wèn)題。然而，發(fā)現(xiàn)一個(gè)僵尸網(wǎng)絡(luò)是非常困難的，因?yàn)楹诳屯ǔ＿h(yuǎn)程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機(jī)”，這些主機(jī)的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。 此病毒有如下特征： 1、連接IRC服務(wù)器； 1）連接IRC服務(wù)器的域名、IP、連接端口情況如下： 域名IP 端口 所在國(guó)家 0x80 194 64 194 64.202.167.129 TCP/6556，TCP/1023 美國(guó) 0x80.my-secure.name 194.109.11.65 TCP/6556，TCP/1023 荷蘭 0xff.memzero.info 無(wú)法解析 TCP/6556，TCP/1023 2）連接頻道：#26#，密碼：g3t0u7。 2、掃描隨機(jī)產(chǎn)生的IP地址，并試圖感染這些主機(jī)； 3、運(yùn)行后將自身復(fù)制到System\netddesrv.exe； 4、在系統(tǒng)中添加名為NetDDE Server的服務(wù)，并受系統(tǒng)進(jìn)程services.exe保護(hù)。 按照以下方法進(jìn)行清除： 該蠕蟲(chóng)在安全模式下也可以正常運(yùn)行。但可以通過(guò)清除注冊(cè)表的方式在正常模式下清除蠕蟲(chóng)。手工清除該蠕蟲(chóng)的相關(guān)操作如下： 1、斷開(kāi)網(wǎng)絡(luò)； 2、恢復(fù)注冊(cè)表； 打開(kāi)注冊(cè)表編輯器，在左邊的面板中打開(kāi)并刪除以下鍵值： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv 3、需要重新啟動(dòng)計(jì)算機(jī)； 4、必須刪除蠕蟲(chóng)釋放的文件； 刪除在system下的netddesrv.exe文件。（system是系統(tǒng)目錄,在win2000下為c:\winnt\system32，在winxp下為 c:\windows\system32） 5、運(yùn)行殺毒軟件，對(duì)電腦系統(tǒng)進(jìn)行全面的病毒查殺； 6、安裝微軟MS04-011、MS04-012、MS04-007漏洞補(bǔ)丁