0x1 飛客蠕蟲
國外常用叫法conficker,kido, downup,downadup
常用埠:445、139
利用漏洞:ms08-067漏洞
影響系統:受影響的系統包括windows2000、windows xp、windowsserver 2003、windows vista、windowsserver 2008
補丁號:kb958644
0x2中毒現象
無法訪問安全類的站點
防止更新,主要涉及以下關鍵字。可以考慮從可疑程序中查詢這些關鍵字。
病毒母體檔案dll釋放
%system%\[random].dll
%program files%\internet explorer\[random].dll
%program files%\movie maker\[random].dll
%temp%\[random].dll
%system%\[random].tmp
%temp%\[random].tmp
svchost.exe
explorer.exe
services.exe
使用netserverenum、netuserenum等api進行網路共享(smb)弱密碼破解,破解字典如下
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
內建了乙個dga演算法,會嘗試鏈結dga類網域名稱
0x3 檢測
基於飛客蠕蟲會阻塞安全類站點:
飛客蠕蟲會在短時間內訪問大量dga類網域名稱,多數是解析失敗的
在主機可上網的情況下,還可以通過檢查主機是否開啟了形如 :
https://%externalipaddress%:%randomport%類的服務,訪問形如 https://%predictabledomainsipaddress%/search?q=%d類的url
0x4 查殺
專殺工具:
0x5 加固
關於蠕蟲病毒傳播模式的分析
蠕蟲的基本結構和傳播過程 入侵過程的分析 蠕蟲傳播的一般模式分析 蠕蟲傳播的其他可能模式 從安全防禦的角度看蠕蟲的傳播模式 一 蠕蟲的基本結構和傳播過程 蠕蟲的基本程式結構為 1 傳播模組 負責蠕蟲的傳播,這是本文要討論的部分。2 隱藏模組 侵入主機後,隱藏蠕蟲程式,防止被使用者發現。3 目的功能模...
區域網雨雲蠕蟲病毒的處理
最近跳槽換了家單位,300多台pc,2臺檔案共享伺服器server。pc的作業系統大部分是win7,少量是xp,server的作業系統均為win2008 server r2,在server上共享使用者為everyone,共享和安全許可權為完全控制。網路裝置張核心為華為s5348,但是未做任何配置,其...
名為Downadup的電腦蠕蟲病毒在全球迅速傳播
防毒軟體公司f secure公司16日說,一種名為downadup 也稱conficker 的電腦蠕蟲病毒過去幾天裡在全球迅速蔓延,迄今已感染了近900萬台電腦。該公司在一項宣告中說,這種病毒傳染性極高,在過去短短的4天裡,被感染的電腦數量以火箭般的速度上公升,從原來的240萬台上公升至890萬台,...