:::
教育部資安通報,校內有老師個人電腦中殭屍病毒,訊息如下
請各位老師針對自己的個人電腦進行掃毒(免費的小紅傘Avira AntiVirus或Bitdefender即可)
並使用Spybot - Search & Destroy 進行木馬軟體的掃瞄
發佈編號 |
NTUSOC-INT-201706-0869 | 發佈時間 | 2017-06-16 15:20:30 |
事件類型 | 殭屍電腦(Bot) | 發現時間 | 2017-06-16 14:45:00 |
事件主旨 | 教育部資安事件通告-桃園市立八德國民中學[163.30.93.1]主機進行惡意程式連線警訊通知(MALWARE-CNC Win.Downloader.Boltolog variant outbound connection download request) | ||
事件描述 | 來源IP主機可能存在未修補之弱點遭駭客攻擊,感染惡意程式或遭植入木馬程式導致觸發此事件,將可能導致主機機敏資料外洩,或成為殭屍網路一員而對外發動攻擊。 入侵偵測防禦系統偵測到來源IP(163.30.93.1),包含疑似惡意程式連線行為特徵之封包,對目標IP(多個目標IP)進行連線。此事件來源 PORT (多個來源PORT),目標 PORT (多個目標PORT)。 | ||
手法研判 | |||
處理建議 | 請檢視來源IP該連線行為是否已得到合法授權。 若來源IP該連線為異常行為,可先利用掃毒軟體進行全系統掃描,並利用ACL暫時阻擋該可疑IP。同時建議管理者進行以下檢查: a.請查看來源IP有無異常動作(如:新增帳號、開啟不明Port、執行不明程式)。 b.確認防毒軟體的病毒碼已更新為最新版本,並進入系統安全模式下行進行全系統掃描作業、系統是否已安裝相關修正檔,或關閉不使用的應用軟體與相關通訊埠。 若來源IP為DNS server、NAT主機或IP分享器等設備IP時, 表示有內部主機透過這些設備向外連線時而觸發偵測規則, 則需先請設備管理者透過事件單所附之資訊(目的地IP、時間、來源port), 來協助查找內部觸發偵測規則之主機, 再依前述建議處理措施進行作業。 |