关于信息网络遭受计算机病毒攻击的情况报告-1.pdf

关于信息网络遭受计算机病毒攻击的情况报告 6 月 26 日晚，北京市高速公路联网收费计算机信息网络系统，遭受瞬时爆 发的计算机病毒攻击，造成首发路网部分分中心服务器、车道工控机运行异 常，影响了收费系统的正常运转。现将情况报告如下： 一、事件起因及经过２００９年６月２６日晚９：１５左右疃里分中心反 映有部分ＭＴＣ车道软件异常，异常情况是车道软件的界面提示下端的提示框 显示 “正在读写卡 ,, ”，导致车道不能正常操作，实际车道收费员并无任何刷卡操 作。之后的一段时间，各路都陆续报告发现ＭＴＣ车道的该异常情况。于晚上 １０点，软件开发人员赶到京石路监控中心，到现场处理此异常情况的。经现 场确认，当晚９点１５到晚上１１点左右为高发起，之后一段时间频率降低。 京石路车道收费员报监控中心有５条ＭＴＣ车道发生，京开路有１０条左右车 道发生，首发其它各路均有该情况发生。机场路和京承二期也发生了此异常情 况，只有京通路没有发现。各路车道对发现此异常情况的处理方法主要有两 种： 一是重新启动计算机后，车道软件恢复正常；另一种方法是通过按收费键 盘，车道软件界面恢复正常。维护人员与软件开发人员当晚就赶到有异常的分 中心和方庄总中心，连夜开始分析和处理异常。中心的异常主要表现在，各分 中心无法通过共享文件的方式与车道传输文件。部分分中心的应用服务器无法 正常工作，业务响应速度变慢，只能依靠重启服务器缓解压力，最频繁时需 4 小时即重启一次。经确认此类异常情况均为计算机系统感染病毒所致。６月２ ７日上午在京开路现场进一步对异常情况进行验证和定性分析。６月２７日中 午，八达岭监控中心报告陆续有３条ＥＴＣ车道计算机界面弹出系统内存出错 的对话框，但车道软件工作正常。至２７日晚７点左右，八达岭所有的在用Ｅ ＴＣ车道均弹出该出错提示。６月２８日上午，在八达岭车道分别取ＥＴＣ和 ＭＴＣ异常车道工控机各１台开始进行染毒机器的样品详细检测。用不同的杀 毒软件对工控机进行了全面的查杀毒处理。发现病毒有５至６种，主要影响系 统和应用软件的病毒有２个，是ｂａｃｋｄｏｏｒ病毒和ｓｍｓｃ病毒。每台 机器感染的病毒文件数在１０００个以上。 1 / 3 随着计算机病毒的不断扩散和发作，越来越多的车道系统感染病毒， ETC车 道也随即出现了错误提示，但经观察并不影响车道的通行。截至 6 月２８日上 午，经相关单位的技术人员紧急处理，病毒的蔓延势头趋缓，情况基本处于可 控状态。 截至 6 月 28 日 24 点，各小组按照既定分配任务及解决方案开展工作，将 发现病毒分类、登记、查杀，已经逐步清除染毒服务器和操作终端的病毒，经 观察，目前没有再次感染。 二、影响范围 1.总中心 发现感染病毒的服务器 2 台，为现金收费系统应用服务器；客户端 2 台， 为电子收费系统查询客户端。 2.分中心及收费所 八达岭分公司所辖路段共有 14 台服务器和工作站受到病毒影响，涉及清 河、马坊、京包分中心及所有收费所。 京沈分公司所辖路段共有 8 台结账用客户机和部分应用服务器受到病毒 影响，涉及白鹿分中心及各收费所。 3.车道端 八达岭分公司的部分 ETC车道出现错误提示，但不影响使用。 京沈分公司所辖路段共有 37 条车道受病毒影响，涉及京承主站、沙峪、 黄岗、马驹桥等收费站，主要问题是车道软件提示 “正在读写卡 ”而无法使用。 京开分公司所辖路段约 10 余条车道受病毒影响，涉及西红门、磁各庄、 长阳、北臧村等收费站，问题同样是车道软件异常提示 “正在读卡 ”。 三、初步分析 2 / 3 根据信息网络的