杨 华，沈佳欣

（1.南京市雨花台区人民广播电台，江苏 南京 210012；2.江苏有线股份公司雨花台分公司，江苏 南京 210012）

浅析区（县）电视台网络管理—以查杀Kido病毒为例

杨 华1，沈佳欣2

（1.南京市雨花台区人民广播电台，江苏 南京 210012；2.江苏有线股份公司雨花台分公司，江苏 南京 210012）

通过对Kido技术的理解分析，为了应对网络病毒的入侵，保证区（县）电视台播出节目安全的重要性，文章分析了其原因，利用所掌握的知识设计了相应的安全对策。

病毒；木马；安全；Kido

1 选题背景和研究意义

随着互联网的不断发展，计算机网络已经是生活中不可或缺的一部分，可随之而来的计算机网络安全也成为困扰人们的一大难题，该选题的意义分为两种：（1）全局意义。网络病毒是影响计算机通讯与数据通信最大的困难。（2）局部意义。单位的非编网络受到严重的影响直至瘫痪。这对网管而言是一个重要的警醒。

K ido是一种蠕虫病毒，又叫 Con f icker，也被称作Downadup。该病毒是安装在Windows操作系统—%systemroot%system32目录下的dll文件，注册操作系Win32服务，病毒再采用复杂算法加密后以upx加壳属于网络蠕虫类，主要利用可移动存储设备、MS08067漏洞传播。

Kido蠕虫病毒，最早发现于2008年，其变种能力强，以每年平均100多个新变种的速度递增，已经成为计算机和网络的头号杀手。

2 Kido技术的基本类型.

2.1 Kido危害性

Kido所具备的几点常见危害特征：（1）造成被感染计算机动行缓慢，性能下降：造成局域网络缓慢，甚至瘫痪；（2）传播迅速，变种能力强，平均每4天出现一个新变种；通过已感染Kido的服务器传播变种和其他恶意程序；（3）Windows自动更新服务被关闭；阻止防病毒产品更新。

2.2 Kido产生过程与现象

从南京市雨花台区人民广播电台受到该病毒攻击进行现象分析：据网络大多数Kido攻击现象如出一辙。首先简单介绍该广播电台网络拓扑，如图1所示。

图1 雨花广播电视台制播拓扑

原本只有一台双网卡主机是连外网的，连外网的目的仅仅是用来升级杀毒软件，但用的杀毒软件都不是正版的，为了更新需要还是必须要升级的。这次病毒是通过U盘进入的，U盘通过双网卡那台主机，因为没能及时清除病毒，感染了内网所有工作站。

内网感染病毒之后，首先会出现如图1所示的情况，也就是说服务器上的server服务被关闭了，接着盘塔中的数据读不出来，非编软件打不开僵死在那边，即使有的双击能运行，打开的也是本地的库与2003server数据库失去中断出现的错误提示，非编软件僵死在那里。

出现这种情况，工作人员立刻向服务器发出ping包用ping 189.8.8.100命令进行检测，发现正常如图2所示。

此刻管理员立刻对服务器进行检查，发现2003server的 server服务果真被关掉了。发现这个情况后，立刻打开server服务，打开之后，工作站运行又正常了。但是不到5分钟时间，网络又瘫痪了，非编软件又打不开，和上面一样即使打开了也是本地的库。此时网络管理者又对2003server 进行检查，发现server还是被关掉了。意识到网络病毒正在影响网络的数据传输。此时播出机房也瘫痪了，主播机189.8.8.21、备播机189.8.8.22、编单机189.8.8.23、入库机都不能与盘塔189.8.8.56进行数据共享了。对于目前情况，只能采取杀毒措施。可是dell工作站和server上都没有杀毒软件，自从系统装好之后系统漏洞的补丁一直没有打上。于是寄希望于360安全卫士，虽然查杀出了很多木马病毒。但是，查杀结果不是很令人满意。情况依旧存在，这时立刻断网查杀，对每台单机安装最新版卡巴斯基，进行全盘查杀。此时杀毒结果出来了，一种变种Kido病毒被查出，如图3所示。

图2 使用Ping 命令后服务器正常

图3 杀毒结果查出病毒

而此时Sobey公司病毒工程师也作出了确认，这就是Kido病毒，此种病毒在江宁电视台也发生过，造成江宁电视台大面积计算机瘫痪的现象与此一模一样。得到确认之后，立刻上网进行搜索，发现此病毒是利用微软的MS08-067漏洞对计算机进行感染。分别对dell工作站xp和2003server进行补丁更新。

为了彻底解决此病毒，首先对各个客户机进行断网查杀，首先用的是360safe，其次用的是卡巴2009，发现只能检查到却杀不掉，于是使用卡巴2010，发现可以杀掉但无法完全清除病毒。卡巴很占用内存这一点众所周知，所以进行一次全盘杀毒速度很慢，何况还要不断反复查杀。于是管理员接着使用Kido专杀kk.exe，用它对每台机器进行轮番查杀，果真查出每台机器上都有此类病毒。经过二次查杀后，服务器显示界面如图4所示。

杀完之后，服务器管理员立刻对所有工作站进行补丁的更新与维护，此时非编网络终于正常了。

3 结语

在此操作中，管理员结合本地情况，利用现有设备，将所学知识与实际相结合，积累经验，利用各种处理网络问题的方法解决了一项重要问题。总之，做好故障处理十分重要。

图4 二次查杀后服务器界面

[1]刘金国，单鹏.网盾病毒隔离系统在广播电视台网络中的应用[J].现代电视技术，2015（2）：120-123.

[2]杨军.计算机蠕虫病毒的解析与防范[J].教育教学论坛，2005（10）：32-34.

[3]刘伟.网络环境下计算机蠕虫病毒的防范[J].科技传播，2011（21）：203，223.

Analysis on network management of district (county) TV station: taking killing Kido virus as an example

Yang Hua1, Shen Jiaxin2
（Nanjing Yuhuatai District Radio Station, Nanjing 210012, China; Yuhuatai Branch of Jiangsu Cable Co., Ltd., Nanjing 210012 China）

According to the understanding of Kido technology analysis, in order to deal with the intrusion of network virus, and ensure the district (county) the importance of television security, this paper analyzed the reasons and designed corresponding countermeasure of safety with knowledge mastered.

virus; Trojan horse; security; Kido

杨华（1978— ），男，江苏南京，工程师。