一般來說任何的網絡攻擊行為無論是病毒還是木馬其發生的時候肯定會在系統中留下一些痕跡下面我談談我們如何從系統進程中查看我們的網絡及操作系統是否正在遭受病毒或者木馬的侵襲及對應的解決方法或許能夠給正在遭受網絡安全困擾的用戶一些幫助
具體怎麼看系統進程我想這裡就不用我多說了很多工具都可以查看系統進程最常用的方法就是利用操作系統自帶的任務管理器進行查看
一 CSRSS進程異常
根據官方的解釋CSRSS進程是Windows圖形相關控制的客戶端服務自系統正常情況下在操作系統的任務進程中必須有這個進程否則系統就的圖形界面就無法使用了但是這個進程也很有可能被病毒所利用成為病毒的保護傘
若CSRSS進程出現了以下的異常情況那麼說明你的電腦很可能中毒了應該即使采取措施否則會影響操作系統以網絡的安全
當任務管理器中出現多個CSRSS進程時一般情況下在操作系統中只能出現一個CSRSS進程雖然說CSRSS進程是必須的但是也不是多多益善當任務管理器中的進程顯示出有多個CSRSS進程的話那麼說明你的操作系統中招了
當CSRSS進程運行的用戶名不是SYSTEM及其運行的模塊路徑不是System 文件夾下的話那麼你也要當心了很可能你電腦已經成為了黑客眼中的肉雞成為影響企業網絡安全的一顆定時炸彈隨時都會爆炸
當CSRSS病毒出現在微軟早七的版本中如系統或者WINME操作系統的話那麼也說明這個進程是有問題的進程因為CSRSS進程是微軟操作系統以後的產物在以前的操作系統中沒有這個進程若不幸在以前的操作系統的版本中發現這個進程的話那絕對是病毒無疑
解決方式
若CSRSS是木馬引起的那麼CSRSS是一個小的腳本程序現在很多木馬都會用到這個進程如QQ木馬傳奇盜號木馬MSN木馬郵件帳號木馬等等中了這些木馬的時候一般操作系統本身不會有很大的反映系統的速度也是正常的所以比較隱蔽但是其危害是很大的其會把企業的一些帳號如VPN用戶名與密碼即時通信工具與密碼等等都洩露出去給企業的網絡安全帶來很大的隱患
遇到這種這種情況的話我們應該采取如下措施
通過注冊表刪除這個進程因為木馬把這個進程偽裝成系統進程所以試圖通過任務管理器結束這個進程的時候系統會提示錯誤信息告知這個進程為系統進程不能停止所以只能夠通過注冊表管理器把這個進程刪除注意不要把系統原來的那個進程給刪除了所以還是建議在修改注冊表之前先記得備份一下
然後查看進程運行時的系統路徑把該進程在注冊表中刪除後在任務管理器中的進程處就找不到這個進程了此時找到其原先運行的路徑下面我們就可以看到有一個CSRSS可執行文件注意只要不是SYSTEM其他的都可以刪除我們也可以通過系統自帶的搜索功能查詢這個文件把不是在SYSTEM目錄下的CSRSS文件都刪除
為了安全起見升級我們的殺毒軟件或者網上尋找專殺工具對我們的系統進行全面的查殺把病毒殺掉後要及時把補丁打上以防止下次不小心又中招了
二 LSASS進程異常
LSASS進程也是微軟操作系統的系統進程其主要用來管理IP安全策略以及啟動ISAKMP/IKE和IP安全驅動程序這個進程會產生會話秘鑰以及授予用戶交互式客戶/服務器驗證的服務憑據
一般情況下若系統進程中出現了一個LSASS進程並且其是以SYSTEM的用戶運行且運行目錄是在System下面那不用擔心是正常的但是有時候這個進程也會作怪有些木馬或者病毒也會假冒這個進程來欺騙用戶
當發生以下異常情況時那我們需要注意了可能我們的操作系統以及網絡已經受到病毒或者木馬的威脅
在系統中出現了多個LSASS進程一般以大寫命名的LSASS進程是正常的是系統進程但是若同時還存在一個小寫命名的lsass進程的話那就說明你的系統可能已經出問題了被病毒或者木馬看中了
若中了ISASS病毒的話不僅會在系統進程中產生兩個LSASS進程而且還會產生一個EXERT進程這兩個進程分工合作共同來管理LSASS病毒一般來說LSASS進程控制LSASS病毒的執行而EXERT病毒控制LSASS病毒的退出所以若這兩個進程成對出現的話那你的系統百分之百的已經中了LSASS病毒
LSASS病毒也是一個盜號木馬其主要運行在微軟的操作系統上以前的版本危害比較小主要用來盜取游戲密碼但是改良後的LSASS病毒不僅會盜取游戲密碼而且還會盜取郵箱QQ密碼等等對於企業網絡的安全影響比較大不法之徒可以利用這個工具獲取企業郵箱等密碼竊取企業的機密如客戶發給企業的定單等等LSASS病毒會記錄鍵盤信息最後把用戶名與密碼信息記錄下來並發送到指定的郵箱從而竊取用戶的帳號與密碼等等所以危害級別比較大
解決方案
結束LSASS進程因為該進程為系統進程(其實不是只是偽裝但是操作系統本身不能識別)所以無法在進程管理器中直接停止我們只能夠通過注冊表或者在DOS窗口中利用NTSD命令強行停止NTSD是從微軟的以後的操作系統中自帶的用戶調試工具被調試器附著的進程會隨調試器的退出而一起退出所以可以同這個命令在命令行窗口下強行終止進程但是一般情況下NTSD命令不能殺掉SYSTEM用戶運行的進程不過還好LSASS病毒的LSASS進程是不是以SYSTEM用戶運行的從這裡我們可以看出在進程管理器中其結束進程的話有時候是按進程的名字來限制的但是利用NTSD命令的話他考慮的是以什麼身份進行運行的故利用NTSD命令可以停止一些偽裝系統進程運行的非法進程利用這個命令也可以禁止上面談的CSRSS非法進程當然以SYSTEM運行的合法系統進程是結束不掉的具體的命令為ntsd –c q –p 進程ID通過進程管理器可以查到非法進程的ID就可以通過這個命令禁止掉了
刪除病毒文件LSASS病毒會在其他盤下生成兩個文件分別為Autoruninf與文件一般這兩個文件的屬性是隱藏的所以我們需要把文件的顯示屬性設置為顯示隱藏文件與系統文件才會看到這個兩個文件找到他們然後把他們刪除同時在啟動盤下可能會有一些病毒文件如EXERTEXE等我們也要把他們一一找出來刪除掉不然的話下次還是會中招
修復注冊表這個病毒在注冊表中會生成比較多的垃圾所以若是手工清除的話一方面不一定能夠全部清除干淨另一方面也可能一不小心產生一些錯誤此時我們最好利用我們最近備份的注冊表備份文件直接進行恢復
從網上下載專殺工具或者升級我們的殺毒軟件進行全面的查殺
為了安全起見需要提醒我們的員工及時更改我們的帳戶密碼因為用戶 的密碼很可能已經洩露出去如果不及時把密碼改過來的話不法分子可以利用他們已經得到的用戶名與密碼進行一些非法的勾當
以上這兩種進程都是盜號木馬的工具對於這些盜號木馬進程一般情況下不會對系統運行造成什麼影響所以相對來說比較隱蔽但是其危害性確實比其他病毒大的多有些病毒只是惡作劇的性質最多只是讓操作系統崩潰或者造成網絡擁塞而企業的文件帳戶信息等不會洩露出去所以這些惡作劇的病毒危害性反而小一點
所以為了保障企業網絡的安全最好的辦法還是部署企業級別的殺毒系統如此的話可以實現在用戶不用干預的情況下對殺毒軟件進行及時的升級防止病毒與木馬入侵
From:http://tw.wingwit.com/Article/os/xtgl/201311/8978.html
