病毒处理

病毒处理（共10篇）

病毒处理 篇1

一、ARP网页劫持病毒

ARP (Address Resolution Protocol)是地址解析协议。局域网中传输的是帧，帧里面包含目标主机的MAC地址。地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

ARP地址欺骗。正常情况下，网络上各主机中的ARP缓存表是正确的，可以保证通信正常的MAC地址解析，但在某些恶意程序发送ARP欺骗包时会让某些主机接受欺骗并在自身ARP缓存表中保存错误的IP地址与MAC地址对应关系，导致对目的IP地址的通信被误入歧途。通常，恶意程序发送虚假的网关MAC地址，导致经网关进出的数据都转向经过虚假的MAC地址对应的主机，该恶意程序一般是木马病毒，网页劫持病毒就是其中之一。

ARP网页劫持病毒严重堵塞网络。感染病毒的主机向局域网不断发送ARP欺骗包，增加数据流量，同时进出网关的数据都被导向染毒的电脑，使染毒的电脑成为代理服务器，不堪重负而堵塞，甚至使网络通信完全中断。他还可能使局域网内其他电脑访问挂马网页而中毒，导致游戏账户和密码信息被窃。

二、判断局域网中ARP欺骗攻击

(一)网络中出现部分或者全部主机通信掉线情况或者网络完全不通。用IE浏览网页时出现意外的广告窗口，或者浏览正规大型网站却完全显示其他网站的内容。

(二)为了进一步明确是否有ARP欺骗攻击，可以在出现异常情况的电脑或者在局域网上找几台电脑，用命令：ARP-a显示该电脑上ARP缓存表中IP地址和MAC地址的对应情况，特别关注网关的MAC地址是否符实，网关的真实MAC地址可以在对应的网络设备上用命令查阅。例如，华为2611路由器可以用命令“DISPlay interface Ethernet局域网以太端口号”，若与网关的真实MAC地址不一致则说明有ARP欺骗攻击。

(三)现在需要查找出谁是攻击源。从第2步查看出的网关虚假MAC地址，即是攻击源，如果手头有网络地址对应情况登记表，那么很容易找到攻击源是哪台电脑，将该电脑从网上断开进行病毒查杀处理即可。若没有现成的登记表，可以用“ARP防火墙单机个人版”或者“安全卫士360”等软件监测到攻击源IP地址。

三、ARP欺骗攻击和网页劫持病毒防范

(一)在每台PC上绑定网关的IP和其MAC地址, 使该机ARP缓存表中网关的IP地址和MAC地址对应关系不会因为ARP欺骗攻击而改变。

1. 在dos状态下，输入:arp-s网关IP网关MAC，但是重启电脑，作用消失，可以把此命令做成一个批处理文件，放在操作系统的启动里面，随电脑启动而自启动。

2. 在PC机上安装运行“ARP防火墙单机个人版”或者“安全卫士360”等软件也可以阻断ARP欺骗攻击。

(二)在网关路由器端绑定所有网内电脑IP/MAC地址。在静态地址分配中，可以用命令arp static IP地址MAC地址绑定。在DHCP中启用IP/MAC地址绑定功能，详细操作请参阅相关手册。

经过上面两步的处理，基本上可以控制住ARP欺骗，但是还需要做进一步的处理。

(三)对病毒源头的电脑进行杀毒或重新装系统。此操作比较重要，解决了ARP攻击的源头问题。将防毒软件的病毒定义码更新后重启进入安全模式，一般可以查杀该病毒，也可以下载ARP病毒专杀工具进行查杀，否则格式化硬盘重新安装系统。

(四)安装系统补丁和杀毒软件并更新病毒定义码，对局域网内所有电脑进行病毒扫描。

(五)不要轻易点击陌生的链接信息，更不能随意运行可疑程序。

病毒处理 篇2

利用DCOM RPC漏洞(详情)，通过使用135端口对特定的Windows XP进行攻击，

利用WebDav漏洞(详情)，通过使用80端口对特定的Microsoft IIS 5.0进行攻击，

我们第一时间为您提供一种清除该病毒的方法：

点击开始菜单->运行->键入“regedit”->确定

找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”

删除.RpcPatch和RpcTftpd键值

退出注册表编辑器

病毒处理 篇3

一、网络型病毒的主要特征

（一）品种多样、数量巨大

最为常见的网络病毒，是利用个人编制的代码或程序，对计算机系统形成破坏，甚至会将硬盘格式化，导致系统重要信息丢失。中毒的最主要表现为系统出现错乱、资源被强制占用、文件数据被篡改或删除等，严重的情况下，甚至会破坏杀毒软件与防火墙系统，使网络易受到病毒的攻击。这类病毒多数都是人为编写的，在经过改写与重新创造后，病毒的形态与种类也会呈现出多样化的趋势、数量也会不断增多。

（二）复杂难分类

目前我国还并没有针对网络病毒制定出统一的分类准则。因为网络病毒的作用以及来源都十分复杂、难以界定，所以对于许多病毒，我们都很难对其进行合理的命名。这对网络病毒原理与防治措施的研究有很大的影响。就目前的情况来看，主要可以依据供给的方式来进行大体区分，可分为木马与蠕虫两种。

1.蠕虫病毒

蠕虫病毒是一种主要借助分布式网络来达到传播与扩散目的的病毒，它会对系统当中的各项重要信息进行破坏，从而导致系统出现网络中断或瘫痪等问题。它的特点是利用软件系统中的缺陷，不断进行自我复制，主动向周围进行传播。

2.木马病毒

木马病毒是一种能够进行远程控制的工具，其与普通种类的病毒相比，最特殊的就是，其不会自主进行复制或传播，而主要是利用伪装，吸引用户自己去进行下载，在开始运行后，将下载者的重要信息反馈给病毒的制造者，进而导致重要信息被窃取甚至整个电脑被控制。

二、技术措施

（一）利用病毒防控软件与防火墙

1.防火墙

计算机内的防火墙，能够有选择的对网络当中的每个访问程序进行限制，比如IP的检测、共享资源的访问、TCP/UDP的端口访问以及NETBIOS的名称检测等等，其能够在内部与外部网络之间，形成一层隔离网，达到隔离外网病毒的效果。一般来说，探测通常是病毒对个人网络进行供给的前兆，个人端口的访问权限，是多数蠕虫与木马病毒入侵的必要条件，只要真正切断了病毒的入侵路径，一般的网络病毒是很难入侵个人网络端口并产生破坏的。

2.病毒防控软件

以上所说的防火墙，其主要的作用只限于对网络的访问进行限制，所以一旦病毒真正入侵后，防火墙并不能起到消灭病毒，控制影响的作用。因此，我们还需要利用病毒防控软件，才能够真正达到消灭病毒的目的。就目前杀毒软件的特性来看，病毒的检测原理大抵包括行为码法、特征码法以及校验和法三类。其中特征码法可以有效的检测出已知病毒，并及时消除。校验和法则是对意图篡改文件内容与属性的病毒十分敏感，但是这类检测法的误报几率也很高，而且并不具备病毒清除的功能。行为码法则主要是针对未知类型的病毒检测效果较好，但是也存在误报几率高的问题。目前多数病毒防治软件，基本都是同时使用这三种检测方式，以达到提升病毒检测及清除效率的目的。

（二）对内置软件及时进行更新升级

利用计算机内置软件存在的缺陷入侵电脑，是现今网络病毒最为主要的一个特点，因此，除了要充分利用防火墙与防护软件，我们还应当及时对自机的内置软件进行修补与升级，才能够进一步控制病毒的传播与蔓延。微软公司于2007年7月时，公布Microsoft SQL Server2000系统的一个重要漏洞，并研发出了名为“sql2sp3”的补丁程序，2003年1月25日时，在全世界范围内急速爆发的“蠕虫王”病毒，则正是利用了这一漏洞，在这次病毒入侵活动中，受损害程度最大的，均是还未安装“sql2sp3”补丁程序的用户，由此可见，软件与系统的更新，是至关重要的。此外，病毒防控软件当中的病毒数据库，也需要经常进行更新，杀毒软件的生产厂商也应当不断对新的病毒特征码进行收集与分析，以确保对新型病毒的准确检测与消除。

（三）规范用网习惯，保持网络清洁

网络病毒的防范，不仅在于软件的应用与软件的更新，也在于使用者用网习惯的规范性。否则即使拥有先进的杀毒软件，也无法有效避免病毒的入侵。作为使用者，首先应当树立起自身用网规范意识，了解网络中的病毒陷阱，对网络上的网站与软件都要有明确的辨别，要了解哪些软件与网站是存在病毒的，哪些是安全可用的，对于杀毒软件提示包含风险的软件与网站，不可执意进入或下载。并且应当养成定期清理电脑内文件垃圾、定期杀毒的良好习惯，避免由于长期忽略检测而带来的病毒风险。企事业单位与政府部门，则更要注重对员工的用网进行严格的管理，应当订立明确且严谨的规定。防止内部员工在工作期间出现进入外网下载软件等行为，对内部文件的安全性造成威胁。对于出现此种问题的员工，需要从严处理，以防网络风险进一步扩大。

结语

网络病毒的产生，是随着网络技术不断发展必然会出现的结果，而且今后也会一直存在，我们无法彻底消除网络病毒的存在，就只有强化自身的网络安全意识，找出更加高效的网络防护措施，来对网络环境进行维护，才能够减少或彻底消除网络病毒所带来的危害。随着网络病毒研究工作的不断深入，我坚信今后的网络防范措施，也会更加完善，更加有效，进而切实保证整个社会的用网安全。

（作者单位：吉林广播电视大学辽源分校）

作者简介

医院局域网蠕虫病毒处理与分析 篇4

1 故障现象

某部门反映计算机经常死机, 重启后, 正常工作了一段时间, 但不久后故障又重现。经现场观察, 发现计算机死机时出现的错误提示有2种, 如图1 (a) (b) 所示。

与此同时, 同网段的另一部门也反映出现类似情况。

2 故障分析与处理

(1) 进行计算机软、硬件故障排查。把出现故障的计算机连接到实验环境下进行长时间测试, 一切正常;反之, 把备用的计算机安装到上述部门故障依旧, 将其重新安装到实验环境又一切正常。经多次实验, 排除计算机软、硬件故障。

(2) 我院网络根据不同地理位置划分不同的VLAN, 并在VLAN之间应用访问控制列表技术, 可以有效防止广播风暴、防止病毒跨网段扫描端口。而出现问题的2台计算机恰好在同一VLAN之内, 分析可能是病毒导致计算机出现问题。用最新版本的杀毒软件对出现问题的计算机进行病毒查杀, 查杀的结果是:出现问题的计算机没有病毒。

(3) 进一步现场勘察, 并用Netstatan查看计算机TCP/UDP端口状态, 发现以上部门计算机报错时, TCP 445端口正与同网段内的不同计算机进行通信, 使CPU和内存利用率迅速达到100%, 从而使计算机资源耗尽, 出现死机等现象。由此, 可以确定是由同网段内计算机病毒攻击导致问题的发生, 且同网段内可能有多台计算机感染病毒。

(4) 我们把重点放在与故障部门计算机TCP 445端口进行通信的计算机上, 并根据计算机IP地址进行快速定位。经查看这些计算机, 发现一个共同的特点:使用netstat-an命令, 发现计算机根据IP地址从小到大不断扫描同网段计算机TCP 445端口, 并出现很多SYN-SENT连接请求, 这正是蠕虫病毒的传播特点, 可以确定不断扫描同网段计算机TCP 445端口的多台计算机感染蠕虫病毒。

(5) 如何处理蠕虫病毒成为我们面临的主要问题。利用杀毒软件对计算机进行查杀, 发现感染Worm.Win32MS08-067.d蠕虫病毒, 但杀毒完成后重启计算机病毒依然存在, 无法彻底清除。

(6) 进行病毒分析。 (1) 查阅反毒部门的病毒分析报告, 这是一个利用微软漏洞进行传播的蠕虫病毒。它利用微软操作系统的MS08-067漏洞, 将自己植入未打补丁的计算机, 并以局域网、U盘等多种方式传播, 对网络系统危害性极大。蠕虫的传播速度是指数级的, 一旦一台计算机感染了蠕虫后, 他就会按一定策略向相邻的计算机进行传播, 网络中大量主机很快就会被病毒感染, 而这些被感染的主机会不断扫描新的目标, 进而大规模消耗网络资源[1]。 (2) 该病毒感染Win2000或WinXP系统, 针对services exe、"svchost.exe-k netsvcs"、"svchost.exe-k NetworkService"进程进行DNS查询以及TCP传输过程拦截;对杀毒软件关键字进行过滤, 其中包含rising、avast、nod32、mcafee等;停止wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务, 并且改为手动。

(7) 病毒处理。对全网段计算机进行处理, 更新微软系统补丁MS08-067, 在系统安全模式下利用微软恶意软件删除工具和杀毒软件进行联合扫描, 彻底请除了网络内的病毒, 保证医院信息网络工作的正常开展。

3 分析病毒起因

我院信息网络是完全独立的, 并与外网隔离, 各工作站封闭U口、禁用光驱等。在封闭的网络内感染病毒, 可见系统内一定有漏洞或缺口。通过对本网段的工作站进行分析, 发现我院输血科需用U盘从血站导入数据, 判断可能是由此引起蠕虫病毒。随即对输血科的U盘进行查杀, 发现U盘内果然存在WormWin32.MS08-067.d蠕虫病毒。

4 安全措施

医院信息系统是实时、高稳定的系统, 必须避免类似问题的再度发生。

4.1 安装网络版杀毒软件并定期升级

设置空闲时间自动扫描, 可以根据杀毒软件日志反映网络中的病毒状况, 做到病毒早期发现、及时处理。

4.2 安装内网管理系统

通过在线和离线2种方式对计算机外设进行屏蔽, 彻底杜绝非法接入, 并进行异常流量、系统进程、网络进程等监控。如特殊情况需接入U盘等外设, 必须由信息中心进行病毒查杀、认证后方可使用。

4.3 建立补丁分发系统

对各工作站系统漏洞、安全漏洞及时更新补丁, 使病毒没有可乘之机。

4.4 完善网络

对VLAN进行重新设置, 为需要U盘等外设接入的输血科单独配置一个VLAN, 并利用访问控制列技术, 拒绝常见病毒端口的访问, 防止类似影响网络正常工作的情况发生。

4.5 管理措施

进行全院安全教育, 使各使用部门认识到医院信息系统的重要性、病毒的危害性等, 并制定相应的管理制度和惩罚措施。

5 体会

医院信息网络要求连续无故障工作, 可以采用冗余备份等方式保证硬件设备引起的网络故障。但对于蠕虫、木马、ARP等病毒的防治则需要从管理和技术上不断完善, 通过不断学习, 掌握病毒的攻击原理, 提高防范意识, 随时监控网络运行状况, 采取相应的有效措施, 防患与未然, 从而保证网络的安全运行[2]。

参考文献

[1]思科系统 (中国) 网络技术有限公司.下一代网络安全[M].北京:北京邮电大学出版社, 2006:63-64.

疑似诺如病毒感染者呕吐的处理 篇5

每年的冬、春季节为诺如病毒感染的高发季节，最常见的症状是腹泻、呕吐、反胃、恶心和胃痛。近几年来，由于首发病例呕吐物、排泄物没有得到及时规范处理，引起诺如病毒的感染爆发的案例时有发生。由于诺如病毒传染性极强，可通过呕吐物的气溶胶传播，所有人群均易感染，请各学校要引起高度重视，在做好饮食卫生、饮水卫生、环境卫生及楼梯扶手、门把手、电梯按钮、水龙头等重点部位的日常预防性消毒的同时，进一步加强校园内呕吐物、排泄物排的消毒处理，一旦发现有师生呕吐、腹泻等现象，应注意：

1、迅速疏散周围人员，切忌围观。

2、切忌马上用拖把清理。没有按要求消毒而直接用拖把清理，产生的气溶胶将加速诺如病毒扩散，形成拖到哪里感染到哪里的现象。

3、应及时掩闭覆盖，并严格掌握时间和浓度。先使用蘸有浓度为15000mg/L有效氯含氯消毒剂溶液的布，或卫生纸覆盖在呕吐物上，作用30分钟后；将覆盖物包裹呕吐物一起丢弃到待进一步消毒的容器中。

4、从外向里擦拭消毒。以呕吐物为中心，从外围2米处，由外向内采用蘸有浓度为1000mg/L有效氯含氯消毒剂溶液的抹布擦拭各类污染场所和物体表面，如桌椅、墙面及地面等，作用30分钟后；再用清水清洗；本措施可以与上述有关呕吐物处理同时进行。如患者呕吐于洗手盆中，则以洗手盆为中心，从外围1米处，由外向内采用蘸有浓度为1000mg/L有效氯含氯消毒剂溶液的抹布擦拭各类物体表面，如水池、水龙头、墙面及地面，作用30分钟后；再用清水清洗。

病毒处理 篇6

一、常见计算机病毒的处理

最近几年比较常见的病毒有很多, 就笔者在日常生活中所接触的杀毒软件比较难处理的病毒主要有两种, 一种是““威金”病毒, 另一种就是“ARP”病毒, 这两种病毒分别是蠕虫病毒和木马病毒, 前者主要破坏计算机的系统文件, 后者主要是组织用户的正常上网。

1.“威金”病毒的处理

“威金”病毒是一种可感染计算机文化的最常见的蠕虫病毒, 它的破坏性主要表现在对文件的破坏上, 现在一些变种的“威金”病毒可以将一些可执行的文件感染, 杀毒软件对此却不能识别, 将这些文件当成病毒删除, 导致系统被破坏, 即便不被删除这些系统文件也已经遭到破坏, 不能自动运行, 影响计算机系统的稳定和速度。对于“威金”病毒的处理可以用以下几种方法进行根除:

(1) 打开任务管理器, 在进程选项当中找到Logo1一.exe、rund1132.exe进程, 结束该进程。

(2) 运行%windir%文件, 找到其中的Logo1一.exe、rund1132.exe、vDll.dll文件并删除。

(3) 去正规网站下载专门的“Worm.Viking专杀工具”, 安装完毕以后进入安全模式, 打开这个专杀工具全盘杀毒。

(4) 全盘杀毒以后应该在C盘 (系统盘) 找到winnt目录, 在该目录下创建一个名为Logo1一.exe的文件夹, 然后在该文件夹的属性当中将该文件设置为只读+隐藏, 这样就可以让计算机系统自动将Logo1一.exe识别为只读不保存的文件, 达到预防的效果。

(5) 威金病毒最大的特点是会在每一个文件夹当中生成一个-desktop.ini的文件, 采取上述步骤以后还要在电脑当中的每一个文件夹当中找到这个文件并删除。如果这样做觉得太麻烦, 可以编辑一个自动批量处理的命令deld:-desltop.ini/f/s/q/a, 这样运行以后就可以将-desktop.ini的文件全部删除。

2.“ARP”病毒

“ARP”病毒是当前通过杀毒软件不能有效的解决的问题, 笔者的电脑因为安装了盗版软件曾经多次遭受这种病毒的光顾。“ARP”病毒实际上是破坏“ARP”地址解析协议的一种木马病毒, 该病毒发作时其基本的表现就是网络掉线, 也就是网络连接正常的时候上不去网。解决“ARP”病毒主要分为三个步骤:

(1) 进入路由器管理界面, 在防火墙设置中将基本配置栏设置成“防止ARP病毒攻击”这一选项并点击确定。

(2) 在局域网上的每一台电脑上绑上网关的IP和MAC地址, 然后进入dos操作系统, 在系统当中输入网关IP地址和网关MAC地址完成绑定设置。这种设置重启电脑以后作用就会消失, 为了避免这种情况的发生就需要把这一命令变成一个批量处理的文件, 在操作系统了可以开机启动。批量处理文件应该写成:

这样每次开机之后都会自动启动这一设置, 达到防止arp病毒攻击的目的。

(3) 现在路由器当中一般有DHCP功能, 在这一功能当中用户可以将IP/MAC进行绑定, 通过这个功能可以一次查找到局域网当中所有电脑的IP/MAC的对应列表, 用户可以点击“√”选的功能选择绑定IP/MAC, 这样就能将局域网当中所有的IP/MAC。

三、计算机病毒处理防范策略

做好计算机防范工作就显得尤为重要, 针对当前计算机病毒的传播途径和特点, 笔者认为用户可以采取以下几个措施:

1. 要安装正版杀毒软件并定期更新

杀毒软件是现在防范、处理计算机病毒最方便也是最有效的手段, 随着杀毒软件服务竞争日益激烈, 现在国内的杀毒软件生产商已经开始提供免费的杀毒软件服务, 360、金山、江民等正版杀毒软件现在都能在网上直接下载, 极大的方便了计算机用户的使用。但是在使用杀毒软件的过程中, 一定要从官方网站上下载, 不要从陌生的、非法网站上下载安装杀毒软件, 也不要使用市场的便宜的盗版软件, 对于使用中的杀毒软件应该定期更新、定期杀毒, 做好主动预防工作。在这里要纠正一个错误, 一些人认为安装杀毒软件会占用很大的系统资源, 造成系统运行缓慢, 不愿意安装杀毒软件。实际上, 现在的杀毒软件已经越来越小, 占有的系统资源也越来越少, 对电脑运行的影响几乎可以忽视, 因此在使用计算机的过程中一定要安装正版的杀毒软件。

2. 要养成预防病毒思维和习惯

“不管计算机系统应用的是什么样的网络浏览器, 其中都包含一个安全级别的设置, 最好将这个设置设在中级以上, 另外对于那些不清楚从何而来的电子邮件, 尤其是其中包含的附件, 如无必要, 尽量不要打开。”[1]要使用正版浏览器, 或者具有主动预防功能的浏览器, 如360浏览器、搜狗浏览器等。在使用过程中不要浏览色情网站、非法网站, 不要轻易相信不熟悉的网络销售网站, 更不要从色情网站、非法网站下载视频、文档资料。在下载文件的时候, 应该开启杀毒软件的下载杀毒功能。不要轻易打开陌生的邮件, 不要从邮件中下载陌生人发来的资料, 使用QQ等即时通信工具的时候不要打开陌生的连接和发来的离线文件, 不要在QQ群空间、BBS上下载不知名的文件包。

3. 做好计算机系统定期维护工作

用户在选择操作系统的时候应该尽量选择销售商提供的正版操作系统, 不要安装盗版系统软件, 因为这些软件都活多或少的包含一些病毒文件。使用的操作系统应该开启系统升级功能, 以便于完善操作系统, 阻止病毒通过系统漏洞感染计算机。在使用路由器的过程中, 应该进入路由器的防护墙基本配置栏, 激活“防止ARP病毒攻击”这一栏, 这样能够有效防止ARP病毒攻击。对于日常自己的使用的各种存储媒介, 应该对其定期杀毒, 要开启杀毒软件当中的优盘保护功能。

总之, 在日常生活中做好计算机病毒工作非常重要, 常使用计算机的用户应该意识到这一点, 在使用过程中多了解一些基本的计算机防范知识, 尽量避免计算机病毒的侵害。

摘要：计算机病毒是困扰计算机系统安和网络发展的一个重要问题, 蠕虫病毒和木马病毒最为常见, 其中“威金”和“ARP”病毒比较难处理。本文详细介绍了“威金”和“ARP”病毒的主要破坏方式和处理方法, 并根据计算机病毒的特点提出了一些行之有效的防范措施, 以便于减少计算机病毒的危害。

关键词：计算机病毒,传播途径,杀毒软件

参考文献

[1]封彦婷.浅谈计算机病毒的防护[J].科技创新导报, 20

病毒处理 篇7

ARP技术原理

简单的说, 在TCP网络环境下, IP包的寻址靠路由表定义。但是, 当IP包到达该网络后, 哪台机器响应这个IP包却是靠该IP包中所包含的MAC地址来识别。也就是说, 只有机器的MAC地址和该IP包中的MAC地址相同的机器才会应答这个IP包。因为在网络中, 每台主机都会有发送IP包的时候。所以, 在每台主机的内存中, 都有一个ARP→MAC地址的转换表。通常是动态的转换表 (在路由中, 该ARP表可以被设置成静态) 。也就是说该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的MAC地址而决定的。

ARP攻击种类

ARP欺骗分为两种, 一种是对路由器ARP表的欺骗。另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 经过路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法受到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关, 让被欺骗的PC向假网关发数据, 而不是通过正常的路由途径上网。在PC看来, 就是无法上网, 即“网络掉线”。

2 典型障碍分析

吉林市工商局MPLS VPN网络结构

吉林市通信分公司基于MPLS的VPN, 其基本框架结构是:城域网汇聚层交换机作为核心设备PE (ProviderEdge) 、通过接入层交换机采用光纤或ADSL方式与用户端设备连接。

船营工商局是吉林市通信分公司采用MPLS VPN技术构建通信专网的客户之一, 其网络结构较为简单 (见图1) :船营工商局中心及下联网点均连接之同一台8016交换机, 但分属不同的VPN-Instance, 划分为两个网段, 每个网段的网关地址设在8016交换机的三层vlan虚端口上。

船营区工商分局网络障碍描述

1月18日上午9时左右, 船营区工商分局长春路所反映无法正常通信, 值班人员登陆网管机查看局设备运行状态正常, 数据各项参数均无异常, 无法进一步判断通信障碍原因, 派外勤维护人员到现场处理。维护人员到达长春路所, 查看用户通信设备物理状态正常, Modem配置正常, 利用笔记本电脑配上用户IP地址及网关, ping网关 (172.20.148.129) 不通。此时船营区工商分局下属物华所、光华路所等网点也相继出现通信异常现象。当维护人员正在进一步排查障碍点时, 通信突然恢复正常通信, 将用户端通信设备恢复连接后, 办理业务正常, 同时物华所、光华路所也恢复通信正常, 障碍历时约1小时。维护人员现场观察30分钟, 网络运行稳定。

1月19日和20日同一时间, 类似障碍再次发生, 船营工商局下联网点的营业PC终端间歇性出现掉网现象, 有时所有PC终端均无法与中心服务器通信, ping网关不通, 两天的通信障碍都大约持续一小时左右。

船营区工商分局网络障碍处理

经过局端及用户端硬件设备排查, 未发现异常。由于船营工商局下联网点是划分为一个网段, 所有PC终端逻辑上均归属同一个局域网, 通过三天的障碍现象, 初步判断为船营区工商局VPN网络内部有病毒攻击, 由于发生障碍时间短, 维护人员没有对网络进行数据抓包, 无法分析导致用户通信异常数据包。

1月21日, 维护人员在8016交换机上针对船营工商局VPN网络利用Etherpeek软件进行抓包。8:40开始抓包, 进行到9:00时, 数据包开始有异常情况。00:16:EC:83:85:33 MAC地址分别与172.20.148.130、172.20.148.131、172.20.148.132、172.20.148.135映射, 使服务器无法识别IP包的真正MAC地址, 无法对IP包作出回应, 导致部分网点PC终端无法正常通信, 情况属于第一种ARP表的欺骗。以下是Etherpeek捕捉到异常数据包 (见图2) 。

当抓包进行到9:57时出现了另一种异常数据包, 以下是通过Etherpeek捕捉到异常数据包 (见图3) 。

通过图3可以很清楚的看到00:16:EC:83:85:33又与网关172.20.148.129映射, 使得船营区工商分局下联网点VPN网络内的所有PC终端无法识别真正的网关, 造成数据包不能正常发送, 使得整个VPN网络中断。情况属于第二种ARP欺骗的原理是——伪造网关。

根据抓包结果, 维护人员进一步查找00:16:EC:83:85:33 MAC地址对应的IP地址172.20.148.189, 是位于船营区工商分局越山路所的一台PC终端, 障碍原因是该机器向网络内部发送ARP欺骗病毒数据包, 将其中断连接后, 网络立即回复正常通讯。

22、23日值班人员监测船营区工商分局网络正常, 再无异常情况发生。

船营区工商分局网络障碍分析

目前吉林市通信分公司为采用MPLS VPN技术, 成功为多个大客户提供了虚拟专用网络通信服务, 这种组网方案在节省网络投资及外网攻击等多方面与其它组网方案有较多优势, 但对其内部攻击及网络自我防范方面较为软弱。特别是由于资源的限制, VPN网络中的接入节点按局向划分大多归属同一网段, 来自于内网的病毒攻击极有可能影响到一个网段的正常通信。通过本次障碍, 维护人员进一步加强网络安全与病毒攻击防范意识, 在今后的工作中将为广大VPN网络客户提供更安全、便捷的网络通信服务。

参考文献

[1]冯径.多协议标记交换技术[M].北京:人民邮电出版社, 2002:118-159.

病毒处理 篇8

ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。

ARP病毒攻击的原理:每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。高速缓存中的每一条记录(条目)的生存时间一般为20分钟,起始时间从被创建时开始算起。默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。

ARP病毒攻击的主要方式有仿冒网关、欺骗网关、欺骗终端用户、ARP泛洪攻击。

ARP病毒攻击的目的:当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登录了某些游戏或者网上银行服务器,那么病毒主机就会经常伪造断线的现象,那么用户就得重新登录服务器,此过程就是病毒主机盗取用户帐号和密码的过程。

1 局域网ARP病毒发作时的处理

1.1 定位ARP攻击源

步骤1:建立网关真实的IP地址和MAC地址的对应表。如果需要临时查找网关真实的IP地址和MAC地址。可以在没有受到ARP攻击的机器上命令提示符窗口运行“arp-g”命令。假设可看到如下显示:

Interface:192.168.1.101---0x10004

Internet AddressPhysical AddressType

192.168.1.194-0c-6d-42-a8-9cdynamic

192.168.1.1和94-0c-6d-42-a8-9c就是网关真实的IP地址和MAC地址。

步骤2:在受到ARP攻击的机器上命令提示符窗口运行“arp-a”命令,查看arp列表。

假设可看到如下显示:

Interface:192.168.1.103---0x10004

Internet AddressPhysical AddressType

192.168.1.100-40-17-0b-03-8cdynamic

则00-40-17-0b-03-8c为伪造的IP地址是192.168.1.1的网关的MAC地址。该MAC地址对应的机器可能就是ARP攻击源。

步骤3:使用NBTSCAN工具查找MAC地址00-40-17-0b-03-8c所对应的机器。

将nbtscan.exe和cygwin1.dll两个文件拷贝到C盘根目录下。命令提示符窗口运行“cd c:”命令,切换到C盘根目录下。运行“nbtscan 192.168.1.0/24”命令整个网段,,假设可看到如下显示:

Doing NBT name scan for addresses from 192.168.1.0/24

IP address NetBIOS Name Server User MAC address

192.168.1.50 SERVER 00-e0-4c-4d-96-c6

192.168.1.111 LLF ADMINISTRATOR 00-40-17-0b-03-8c

192.168.1.121 UTT-HIPER 00-0d-87-26-7d-78

192.168.1.175 JC 00-07-95-e0-7c-d7

192.168.1.223 test123 test123 00-0d-87-0d-58-5f

则00-40-17-0b-03-8c所对应的IP地址是192.168.1.111。找到ARP攻击源。

1.2 对ARP攻击源进行隔离和杀毒。

将ARP攻击源与交换机相连的端口“shutdown”和整个局域网隔离。使用专杀工具进行杀毒,清除ARP病毒。

1.3 对受到ARP攻击的机器进行ARP列表的更新

在受到ARP攻击的机器上命令提示符窗口运行“arp-d”命令,清除arp列表。Ping一下网关,运行“ping 192.168.1.1”命令。运行“arp-g”命令,查看网关现在的MAC的地址是否正确。假设可看到如下显示:

Interface:192.168.1.103---0x10004

Internet AddressPhysical AddressType

192.168.1.100-40-17-0b-03-8cdynamic

与网关真实的IP地址和MAC地址的对应表一致。此时机器就可以重新正常上网拉。

2 局域网ARP病毒的防护

2.1 主机ARP绑定

可以通过绑定本地局域网网关的MAC地址和IP地址,并随系统启动加载,绑定后MAC地址和IP地址是静态的对应关系,不会更新,从而完成基本的局域网ARP病毒的防护。

步骤1:创建绑定本地局域网网关的MAC地址和IP地址的批处理文件。

格式如下:

@echo off

arp–d

arp–s网关IP网关MAC

保存为批处理文件,如“arp.bat”。

步骤2:将批处理文件拖动到开始/所有程序/启动中,使得批处理文件随系统启动加载。

2.2 交换机接口安全策略

安全策略一:基于交换机接口的MAC地址的绑定(以Cisco交换机为例)

Switch(config)#MAC-address-table static 0040.562d.0f1b vlan 1 interface fastethernet 0/1

指定静态MAC地址,并将其与VLAN和接口相关联。

Switch(config)#interface fastethernet 0/1

进入fastethernet 0/1接口配置模式

Switch(config-if)#switchport port-security maximum 1

启用接口安全性,只允许一台设备接入。

Switch(config-if)#switchport port-security MAC-address 0040.562d.0f1b

接口绑定主机的MAC地址,只有该地址可连到该端口。

Switch(config-if)#switchport port-security violation shutdown

指定地址违规时处理措施为自动关闭端口。切断ARP攻击源。

安全策略二:IP地址与MAC地址同时绑定到ACL(以Cisco交换机为例)

Switch(config)#mac access-list extended mac0

定义一个MAC地址访问控制列表并命名为mac0。

Switch(config)#permit host 0040.562d.0f1b any

定义MAC地址为0040.562d.0f1b的主机可以访问任何主机

Switch(config)#permit any host 0040.562d.0f1b

定义任何主机MAC地址为0040.562d.0f1b可以访问MAC地址为0040.562d.0f1b的主机。

Switch(config)#ip access-list extended ip0

定义一个IP地址访问控制列表并命名为ip0。

Switch(config)#permit 192.168.1.1 0.0.0.0 any

定义IP地址为192.168.1.1的主机可以访问任何主机

Switch(config)#permit any 192.168.1.1 0.0.0.0

定义任何主机都可以访问IP地址为192.168.1.1的主机。

Switch(config)#interface fastethernet 0/1

进入fastethernet 0/1接口配置模式

Switch(config-if)#mac access-group mac0 in

在该接口应用名为mac0的访问列表。

Switch(config-if)#ip access-group ip0 in

在该接口应用名为ip0的访问列表。

方案二相对于方案一,可以实现IP地址与MAC地址的绑定,而方案一只能实现MAC地址与交换机接口的绑定。

3 结束语

通过对ARP攻击源的定位,然后对ARP攻击源进行隔离和杀毒,对受到ARP攻击的机器进行ARP列表的更新,可以恢复受到ARP攻击的机器访问网络。如果要使得局域网受到ARP病毒攻击的风险降低到最低,就要对局域网进行一些防护措施,对主机进行ARP绑定,对交换机接口采取安全策略,如基于交换机接口的MAC地址的绑定,将IP地址与MAC地址同时绑定到ACL等策略,可以有效地避免来自ARP病毒的攻击,提高整个网络的安全性。当然这些对ARP病毒攻击的处理和防护措施只是能降低ARP病毒攻击的风险,但如果要彻底清除ARP病毒还需要对病毒进行分析,具体情况不同可能杀毒的手段也不同,有些手工杀毒可能还比较麻烦,此时可以借助防病毒公司专业的ARP病毒杀毒工具。对局域网进行ARP病毒攻击的防护并不能彻底杜绝ARP病毒攻击,因此我们还需做更多的努力与ARP病毒的进行斗争。

参考文献

[1]李剑.计算机病毒防护[M].北京:北京邮电大学出版社,2009.

[2]蔡学军,梁广明等.网络互连技术[M].北京:高等教育出版社,2004.

[3]雷震甲.网络工程师教程[M].北京:高等教育出版社,2006.

病毒处理 篇9

关键词：ARP病毒,典型障碍,处理分析

对计算机ARP病毒产生的原因在百科名片中作了这样的概述:“是在局域网中有人使用了ARP欺骗的木马程序, 比如一些盗号的软件。传奇外挂携带的ARP木马攻击, 当局域网内使用外挂时, 外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上, 向局域网内大量发送ARP包, 致同一网段地址内的其它机器误将其作为网关, 掉线时内网是互通的, 计算机却不能上网。”这一概述描摹了ARP病毒产生的大致原因。再用比较通俗的语言来原因来说明ARP技术原理, 则可以得出这样的认识:在TCP网络环境下, IP包的寻址靠路由表定义。但是, 当IP包到达该网络后, 哪台机器响应这个IP包却是靠该IP包中所包含的MAC地址来识别。也就是说, 只有机器的MAC地址和该IP包中的MAC地址相同的机器才会应答这个IP包。因为在网络中, 每台主机都会有发送IP包的时候。所以, 在每台主机的内存中, 都有一个ARP-->MAC地址的转换表。通常是动态的转换表 (在路由中, 该ARP表可以被设置成静态) 。也就是说该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的MAC地址而决定的。

ARP病毒的攻击种类大致可分为两类:一类是对路由器ARP表的欺骗。另一类是对内网PC的网关欺骗。第一类ARP欺骗的原理在于:将网关数据截获。ARP病毒支配着路由器表示出一系列错误的内网MAC地址, 并按照即定的频率不断的工作, 使得真实的地址信息被障碍, 不能通过更新的做法保存在路由器中, 因此, 经过路由器的所有数据被蒙蔽和曲解, 只能发送出错误的MAC地址, 造成正常工作的PC得不到传送的信息。第二类ARP欺骗的原理是——伪造网关。它的原理是建立假网关, 让被欺骗的PC向假网关发数据, 而不是通过正常的路由途径上网。在PC看来, 就是无法上网, 即“网络掉线”。

2典型障碍处理分析

某单位MPLS VPN网络结构

某城市通信分公司基于MPLS的VPN, 其基本框架结构是:城域网汇聚层交换机作为核心设备PE (Provider Edge) 、通过接入层交换机采用光纤或ADSL方式与用户端设备连接。

某单位是这一通信分公司采用MPLS VPN技术构建通信专网的客户之一, 其网络结构较为简单, 通过局中心及下联网点均连接之同一台8016交换机, 但分属不同的VPN-Instance, 划分为两个网段, 每个网段的网关地址设在8016交换机的三层vlan虚端口上。当ARP病毒自来的时候, 这一单位的下设分支单位反映无法正常通信, 值班人员登陆网管机查看局设备运行状态正常, 数据各项参数均无异常, 无法进一步判断通信障碍原因, 派外勤维护人员到现场处理。维护人员到达现场, 查看用户通信设备物理状态正常, Modem配置正常, 利用笔记本电脑配上用户IP地址及网关, ping网关 (172.20.148.129) 不通。此时这个单位的下属单位的联网均开始出现通信异常问题。维护人员火速本网各个现场, 当维护人员在诸现场排查进一步排查障碍点时, 通信突然恢复正常。将用户端通信设备恢复连接后, 各下属单位的联网办理业务都进入正常状态, 包括此前最早出现问题的两个联网的下属单位。障碍历时约1小时左右。维护人员现场观察30分钟, 网络运行稳定。

第一次障碍发生后, 接续下来的两天中的同一时间, 类似障碍再次发生, 这个单位下联网点的营业PC终端, 间歇性的出现掉网现象, 有时所有PC终端均无法与中心服务器通信, ping网关不通, 且两天中的通信障碍出现的实践和持续时间雷同, 都大约持续一小时左右。

该单位对网络障碍处理的做法:经过网络中心端及用户端硬件设备排查, 未发现异常。由于这个单位的下联网点是划分为一个网段的, 所以, 所有PC终端逻辑上均归属同一个局域网, 通过对三天中出现的障碍现象的分析, 初步判断为单位VPN网络内部有病毒攻击, 又由于发生障碍时间较短, 维护人员没有来得及对网络进行数据抓包, 无法分析导致用户通信异常数据包。为此, 将解决这一问题的措施首先确定与对局域网络进行数据抓包。

随后的第二天, 该单位网络的维护人员在8016交换机上针对船营工商局VPN网络利用Etherpeek软件进行抓包。8:40开始抓包, 进行到9:00时, 数据包开始有异常情况。00:16:EC:83:85:33 MAC地址分别与172.20.148.130、172.20.148.131、172.20.148.132、172.20.148.135映射, 使服务器无法识别IP包的真正MAC地址, 无法对IP包作出回应, 导致部分网点PC终端无法正常通信, 情况属于第一种ARP表的欺骗。以下是Etherpeek捕捉到异常数据包 (见图1) 。当抓包进行到9:57时出现了另一种异常数据包, 以下是通过Etherpeek捕捉到异常数据包 (见图2) 。

通过图中的数据分析, 可以很清楚的看到图2中给出的数据:00;16:EC;83;85;33与网关172.20.148.129映射, 使得这个单位下联网点VPN网络内的所有PC终端无法识别真正的网关, 造成数据包不能正常发送, 使得整个VPN网络中断。情况属于第二种ARP欺骗的原理是--伪造网关。应的IP地址172.20.148.189, 是这个单位下属联网的一台PC终端, 障碍原因是该机器向网络内部发送ARP欺骗病毒数据包, 将其中断连接后, 网络立即回复正常通讯。

在具有了上述处理经验的基础上, 该单位采用MPLS VPN技术, 成功为多个大客户提供了虚拟专用网络通信服务, 这种组网方案在节省网络投资及外网攻击等多方面与其它组网方案有较多优势, 但对其内部攻击及网络自我防范方面较为软弱。特别是由于资源的限制, VPN网络中的接入节点按局向划分大多归属同一网段, 来自于内网的病毒攻击极有可能影响到一个网段的正常通信。通过本次障碍, 维护人员进一步加强网络安全与病毒攻击防范意识, 在今后的工作中将为广大VPN网络客户提供更安全、便捷的网络通信服务。

参考文献

[1]冯径.多协议标记交换技术[M].北京:人民邮电出版社, 2002:118-159.

[2]石晶林, 丁炜.MPLS宽带网络互联技术[M].北京:人民邮电出版社, 2001:658-820.

病毒处理 篇10

近期笔者在市场服务过程中发现, 随着气温逐步升高, 一些猪场的PCV及其继发感染病例增多, 现就这些病例的发生及处理情况进行总结, 希望能给养猪生产提供参考。

1 发病情况

发病猪场主要集中在山东、江苏和河南等地, 存栏规模在50~700头母猪的猪场, 发病猪分布于产房、保育、育肥前期三个阶段, 从2014年2月底至3月初开始出现明显的临床症状, 据统计发病率在40%~60%、死亡率在为70%~80%, 给猪场造成了严重的经济损失。

发病猪外观整体呈皮肤苍白、消瘦、皮毛粗糙、脊骨突出、运动无力 (图1) 等症状。部分产房仔猪排黄色稀粪;有的猪有神经症状、侧卧于地;有的猪场仔猪眼结膜有明显炎症 (图2) 。一般从发病到死亡可持续7~20 d左右, 也有一些猪可耐过, 但后期生长基本停滞, 成为僵猪。

将猪场中的部分发病猪宰杀后剖检观察其内脏变化。主要表现为淋巴结特别是腹股沟淋巴结和肠系粘膜淋巴结肿胀 (图3) 、有的猪支气管淋巴结肿胀出血;肺间质增宽、叶间有胶冻样液体 (图4) 、弹性增大、有的猪肺脏与胸壁粘连;心包积液增多 (图5) 、有的浑浊、严重者心脏被厚厚的纤维素性渗出物附着;脾脏有的全部出血肿胀、表面有凸出的白色小颗粒和黑色梗死灶 (图6) , 也有的仅呈轻微出血变化;肾脏呈区域性弥漫性出血。部分猪在剖检时, 还发现有肠壁变薄、透明 (产房腹泻猪) ;关节液增多、呈黄色略带暗血 (神经症状猪) 等。

为更好的进行确诊, 剖检过程中取有明显病变的肝、脾、肾、肺等组织, 送实验室进行病原的分子检测, 共送检病料17份, 主要进行猪瘟 (CSF) 、PC、PRRS、HPS和链球菌病 (SS) 等病原的检测。

2 诊疗情况

通过对发病猪的临床症状观察与剖检及对猪场技术人员有关发病情况的询问, 怀疑这些猪场的主要病原为PCV, 有的还有其他病原混感, 如PRRS和HPS, 最终的实验室检测结果也证实了前期的初步诊断, 即发病的猪场中100%有PCV感染、57.3%有HPS混感、61.5%有PRRSV混感、5.7%有CSFV混感, 也有一些猪场为三种病原感染, 没有发现链球菌或四种病原混合感染的猪场。

根据诊断结果, 建议这些猪场根据各自情况在管理和防治两个方面采取合理的措施。管理措施:第一, 对那些特别瘦弱的仔猪进行淘汰, 同时淘汰猪群中的部分高胎次经产母猪;第二, 将母猪群和保育仔猪群分别采血测定其CSF、PC、PRRS和PRV的抗体水平, 根据抗体结果及时调整免疫程序或加免疫苗;第三, 一年时间内停止从外部补充后备母猪;第四, 注意饲料的霉变情况, 及时添加防霉脱霉剂。防治措施:第一, 给母猪及后续新生仔猪加免或更换PCV等疫苗;第二, 母猪群每2个月1次保健, 方案为:5%泰万菌素1 kg+10%氟苯尼考粉800 g+定喘散1 kg/t料, 每次10 d, 连用3次;第三:仔猪出生后用30%氟苯尼考针剂进行三针保健, 分别在3日龄、7日龄和断奶当天, 各注射0.3、0.5、1 m L, 母猪生产当天用20%长效土霉素注射液10 m L, 颈部肌肉注射;第四:仔猪断奶后用10%氟苯尼考粉600 g+磺胺二甲嘧啶泰乐菌素预混剂1kg+电解多维1kg+定喘散1 kg/t料, 连用7 d。

3 分析与讨论

3.1 发病

PCV中的2型PCV是导致猪发病的病原, 根据基因序列可以分为PCV 2a和PCV 2b两种亚型, 不同亚型的毒力存在差异, 试验中用PCV对血清抗体阴性健康断奶仔猪进行直接攻毒也极少见到发病[2]。近年来该病在一些猪场特别是规模化猪场的出现频率越来越高, 究其原因, 主要与猪的自身健康程度降低有关。目前, 随着养猪业规模化程度的提高、各类养猪设备的使用, 以及生产过程中饲料霉菌毒素污染、重金属过量添加及药物不合理使用等, 都会造成猪只脏器负担加重、免疫系统等发育受到严重影响, 使原本一些本身致病力弱的病原在此机会下趁机致病造成感染猪严重发病。因此, 生产中养猪业者应该从多个方面采取措施, 提高猪体的健康状况。

在与本次发病的这些猪场交流和现场调查中了解到, 约有92%的猪场认为春季无需重视饲料的霉菌毒素问题, 而忽略了添加脱霉剂;86%的猪场受近两年猪价低迷的影响, 放弃了圆环疫苗等高价格疫苗的免疫;也有一些小规模猪场管理混乱, 不同猪群间混养及发病猪不及时隔离等多种因素叠加, 造成了仔猪发生圆环病毒病及继发感染。所以, 针对这种情况, 在对不同猪场进行详细调查的基础上, 采取个性化措施。

3.2 防治

对于PCV感染来说, 目前临床经验证实疫苗免疫是一种非常有效的手段[3], 由于受传统疫苗免疫理念的影响, 很多初次接触该类疫苗的猪场都迫切希望能够及时见到效果, 即紧急免疫迅速起效。当一些猪场将疫苗用于发病猪只时, 如没有见到理想的效果, 便放弃使用;另外, 一些猪场根据技术人员的指导, 在场内坚持使用疫苗1~2年, 当疫苗起到明显的效果时, 基于成本和程序等多方面因素的影响而停止了该疫苗的使用, 但多在停止免疫5个月后再次发病;也有一些猪场将该疫苗错误的与其他疫苗 (如PRRS疫苗) 同时免疫, 造成免疫效果极差。上述几点, 都是对该病毒致病特点和疫苗免疫机制缺乏了解而造成的生产中疫苗使用不当, 因此, 技术人员特别是相关疫苗企业的技术人员应该在产品推广过程中加大一些疾病基础信息的介绍, 让猪场对该疫苗的使用既能知其然, 又能知其所以然。

前已述及, 单一的PCV感染很难造成猪只发病及猪场大规模损失, 该病的出现很多都是多种因素叠加的结果。因此当猪场出现PCV感染且损失很大时, 应对一些日常管理措施、饲料质量、免疫程序等进行梳理, 找出其中可能存在的问题并迅速整改。生产中多见的PCV感染诱发因素主要有各类应激、霉菌毒素及重金属中毒及不合理的同时免疫等;多见的PCV混感疾病主要为PRRS、SS、HPS、支原体肺炎等[4]。因此, 猪场在处理PCV及其继发感染时, 一定要多方面采取措施, 才能使各类方法的效果达到最佳。

PCV感染发病很多情况下是一种指示剂, 它能够指出猪场在生产中的一些薄弱环节, 这些环节不像其他急性传染病的发生那么容易被人们所发现。特别是在当前猪价低迷的行情下, 很多生产者由于对未来的信心不足, 而放弃了原本各类完善的疾病预防管理措施, 从而使猪只健康面临极大的风险。

参考文献

[1]郎洪武, 王力.猪圆环病毒分离鉴定及猪断奶多系统衰弱综合征的诊断[J].中国兽医科技, 2001, 31 (3) :3~5.

[2]刘健, 张维谊, 鞠厚斌, 等.猪圆环病毒2a/2b亚型病毒株毒力分析[J].中国畜牧兽医, 2013, (2) :23~27.

[3]王一平, 郭龙军, 唐青海, 等.猪圆环病毒2型疫苗的研究进展[J].畜牧兽医学报, 2012, (9) :1337~1345.