现在只有十台左右的工作站是开机状态,按道理说,服务器的负载并不高,但是沈天成却发现服务器的带宽和内存几乎满额占用。
简单的检查了一下,路由器、核心交换机、分支交换机的配置没问题,问题只能出在系统中。
沈天成忽然想到,上次在飞翔网吧发现的可以穿透还原卡的蠕虫病毒,按照上次的思路进行了测试,果然在根目录里找到一个名为“vidll.dll”的文件。
上次以为是飞翔网吧网管乱看网站导致的病毒感染,难道说这个蠕虫病毒已经大面积传播?
服务器已经不安全,沈天成用手机打开qq,找到好友“旦旦”问道:“上次我说的,可以穿透还原卡的病毒记得吗?”
旦旦:“知道,我后来了解过,你说的就是‘机器猫病毒’,你等一下,我给你发个资料。”
不一会儿,资料传了过来,是病毒的简单介绍,总体来说,“机器猫病毒”可以迅速通过局域网传播,修改各个重要位置的系统文件。使得病毒开机自动运行,启动的同时自动访问病毒制定的网络并下载后门危险程序,造成系统缓慢。
病毒通过名为pcihd.sys驱动文件来取得硬盘控制权,并修改userinit.exe文件,实现彻底的隐蔽开机启动。
病毒只在第一次运行的时候释放出驱动文件,然后利用驱动获取硬盘的读写控制权,把木马下载工具植入到系统,“机器猫病毒”通过硬盘的漏洞进行功击,非常容易取得硬盘的控制权,因此还原卡也被成功绕过。
其实,“机器猫病毒”就是一个木马下载器,理论上可以在中了病毒的电脑上任意下载其它病毒,会记录敏感数据发送到指定网络。
成:“哥们,针对这种病毒,目前有没有解决方案?”
旦旦:“论坛老站安全板块里有临时解决方案,你打开看看吧,你这是搞什么呢,神神秘秘的?”
成:“回头再说,我手机上网太麻烦,你把帖子传给我。”
旦旦:“好,等会
。”
发来的临时解决方案一是封ip,二是在操作系统目录下建立免疫文件(一堆脚本代码)。
两种方案都是治标不治本,虽然把病毒的功能限制了,但病毒依旧留存在服务器硬盘内,要彻底消灭病毒,目前只能通过格式化硬盘的办法。
沈天成来到休息区,看情况纠纷已经调解的差不多了,陆羽正在调解书上签字。
“道歉了,再握个手,交个朋友。”杨元忠两边劝着:“以后可不能再冲动了,也就是陆羽这哥们好说话,遇到不好惹的,人家就不同意调解,到时候就不是二百块钱的事了,两位你们说是不是?”
沈天成等他们签完字,坐下说道:“方老板,你们夫妇俩冤枉陆羽了,跟人家电信公司确实没关系,你的服务器中了木马病毒。”
方圆愣了几秒,说道:“不会吧?我装了还原卡啊,而且发现卡顿之后,我家网管对服务器进行过系统还原,还是没解决,所以我才怀疑是线路问题。”
“这种病毒是可以穿透还原卡的,病毒会记录敏感数据,对了,你网吧有没有顾客反映丢失账号的?”
“有,大部分时间都是我看店。”邓哲接口道:“有几个老顾客是玩幻梦网游的,他们说号丢了,我就问他们是不是在别的地方上过,因为在我网吧从来没丢过号。”
沈天成想了想,问道:“刚刚方老板说,你家网管做过系统还原,是格式化硬盘之后做的还原,还是直接用软件还原?”
“我们多买了一块备用硬盘,里面有系统备份,直接装上就能用。”
坐在一旁的张超突然站了起来,“警官,这么一说我才发现,我们网吧这几个月也有不少顾客反映丢号的,都是比较热门的网游,还有丢聊天号的。”
“我去你网吧看看。”
“好,辛苦你了警官。”张超掏出香烟客气道。
一行人来到几十米外的超越网吧,沈天成检查了服务器,中毒症状一模一样!
沈天成放下手中的鼠标,心中有了计较,“方老板,你说你有一
块备用硬盘,换上之后网络正常吗?”
“就刚换上的时候正常,撑不了两天又不行了,警官,到底怎么回事?”这位年龄不大的警官,好像是找到了问题所在,但恐怕不那么容易解决,方圆心急如焚。
“张老板,你这边的情况呢?”沈天成没回答,伸手推开张超递来的香烟问道。
这几天超越网吧的生意一样不好,张超点了支烟,凝神考虑了几秒说:“警察同志,我这个网吧维护和耗材,都是承包给一家熟人开的电脑公司,当初买电脑组网也是他们给弄的,有问题打电话他们就来人修,平时都是招聘的两个网管在维护,现在不比以前,系统还原都是自动化的,网管只需要记住几个步骤,从发现问题到现在有两个多月了,最开始的时候就是让网管恢复服务器的备份,但是没作用,我就打电话让电脑公司来人修,修了一次还是不行,第二次来说是硬盘坏了,换了个硬盘,当时测试的没问题,过了大概两三天又出问题,我就怀疑电脑公司坑我,新换的硬盘到现在还没给他结账呢……”
“还有哪几家网吧出现了这种情况?”沈天成问道。
方圆答道:“有不少呢,蓝色之恋网吧、虚拟时光网吧,好像还有零点网吧……”
沈天成起身道:“方老板,张老板,我去附近几个网吧看看,你们网吧都有监控,把录像保存好,估计很快就能用上。”
“警官,这是怎么回事?”“是不是有人使坏?”方圆和张超跟在后面问道。
“先看看再说吧。”不知道分局对这种情况怎么定义,沈天成没敢下断语。
沈天成和杨元忠又走访了三四家网吧,全部都出现了一模一样的情况,网吧老板都非常着急,其中有两家还报过案,据说警察来看了看又走了。
公安现阶段针对八类重大刑事案件的侦破率已经达到92%左右,基本能达到命案必破的要求,但是也有诸如网络诈骗、网络盗窃之类的案子,一直难以让民众满意。
案件高发,破案率也不高,很多网络犯罪并不需要高深的技术,
犯罪成本只需要一台能上网的电脑,注册一些匿名账号进行撒网式的违法犯罪活动。
网络诈骗或者网络盗窃之类的案子,无论案值多少,公安部门都会受理,达到立案条件的立案,达不到的是治安案件,但无论是刑事案件还是治安案件,大部分都破获不了,案子多、管辖权不明确,最重要的是缺乏相应的技术支持。
虚假账号、匿名信息、代理ip地址、vpn跳板等等,基层民警尤其是繁忙的基层派出所民警很少涉及这方面的东西,也没时间学习这些东西。
由于技术的限制,很多涉及网络犯罪的案子,基层派出所确实束手无策,缺乏技术支持,缺乏办案条件。
打击网络犯罪,最好的办法就是打防结合,一方面打击,一方面宣传防范,省厅设有网络安全保卫处,市局有网络安全中心,但技术力量薄弱,目前主要工作依旧是宣传防范。
“天成,我没看懂你搞的什么,究竟查出什么问题了?”杨元忠跟着跑了半天,没看出一点端倪。
沈天成对检查出的问题有大致的判断,“这应该是一起有预谋的违法犯罪活动,我感觉涉案价值肯定不小,杨哥,是给梁所汇报,还是给指挥中心汇报?”
“要是大案,应该移交给刑警大队,王所不在,还是给指挥中心汇报,然后再给梁所说一声。”
分局指挥中心副主任邓腾今天值班,接到沈天成的汇报后就命令让他们原地等待,刑警队会派人去现场勘查。
都知道分局最近很忙,沈天成和杨元忠都没想到邓主任会这么痛快。
其实邓主任和刑警大队副大队长于军、法制科江海涛等人一直在讨论这个案子,准备着手成立专案组,已经向马局汇报。
新城区网吧遭大范围攻击,指挥中心的警情记录上,有十几个相关的报警电话,目前新城区几十家网吧都发现了这个情况,邓主任对此很重视,但是涉及网络的案子,很多民警没有相关的经验,马局也在想办法协调。
跟梁所说了一声,一人买了个鸡蛋煎饼,又买了一斤
牛肉锅贴,就着矿泉水在车里吃了起来。
等了半个多小时,刑警大队三中队的中队长谢天带着曹文斌和袁捷来了。
曹文斌和袁捷以前在刑警大队的技术中队,刚调到三中队没多久,现在正在“酒托”专案组办案,都是刑警出身,参加过市局组织的技术培训,曹文斌学过痕迹,袁捷学过图像侦查,两人都是三中队的技术骨干。
沈天成把情况做了说明,又表达了自己的看法。
所有中病毒的网吧情况几乎一致,换硬盘或者低级格式化是可以杀灭病毒的,如果是远程下木马,不会这么快就中招,沈天成怀疑,是别有用心的人在网吧下毒,盗取玩家账号获取利益,而这个人应该就在本地,不然他不会对网吧电脑状况这么熟悉,木马被杀掉,就在两三天之内再次种上。