飞客病毒
0x1 飞客蠕虫
国外常用叫法conficker,kido, downup,downadup
常用端口:445、139
中毒症状:请求解析随机域名(DGA)、不能正常访问安全厂商的网站或服务器、下载木马。主要通过系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll,一般为方便开机即运行该蠕虫,有其对应的开机启动服务项
影响系统:受影响的系统包括windows2000、Windows XP、WindowsServer 2003、Windows Vista、WindowsServer 2008
补丁号:KB958644
0x2中毒现象
无法访问安全类的站点
防止更新,主要涉及以下关键字。可以考虑从可疑进程中查找这些关键字。
病毒母体文件dll释放
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users APPlication Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp
线程注入
svchost.exe
explorer.exe
services.exe
暴力破解
使用NetServerEnum、NetUserEnum等API进行网络共享(SMB)弱密码破解,破解字典如下
admin
admin1
admin12
admin123
adminadmin
adMinistrator
anything
asddsa
asdfgh
DGA算法
内置了一个DGA算法,会尝试链接DGA类域名
0x3 检测
基于飞客蠕虫会阻塞安全类站点:
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
飞客蠕虫会在短时间内访问大量DGA类域名,多数是解析失败的
在主机可上网的情况下,还可以通过检查主机是否开启了形如 :
https://%ExternalIpaddress%:%RandomPort%类的服务,访问形如 https://%PredictableDomainsIPAddress%/search?q=%d类的URL
0x4 查杀
专杀工具:http://media.kaspersky.com/utilities/VirusUtilities/EN/kidokiller.zip
0x5 加固
微软官网下载MS08-067漏洞补丁包,并打上该补丁包
补丁包也可以参考下面这个链接:
http://blog.csdn.net/netcoder/article/details/3502873
相关阅读
springbatch 批处理框架整理 (还在整理中。。。。。。。。有点乱,待更新)Spring Batch 是什么? 官网中介绍 Spring Batch is a light
异常处理 **概述** 异常(Exception)是程序在执行过程中所产生的问题。导致异常的产生的原因有
淘宝封号花呗怎么处理。支付宝花呗,是马云旗下的蚂蚁金服,针对各位买家的信用记录、资金消费情况开启的一个金融信用服务,一般都会具
1、ConvolutionFiltering (卷积滤波) 卷积是一种滤波方法,它产生一幅输出图像(图像上,一个给定像元的亮度值是其周围像元亮度值加权
前言 最近一段时间,由于手头上没有什么要紧的任务,所以有时间能够对计算机病毒这一块的知识进行一个浅显的研究。为什么要对病毒进