《conficker病毒介绍》由会员分享,可在线阅读,更多相关《conficker病毒介绍(13页珍藏版)》请在金锄头文库上搜索。
1、Conficker病毒介绍,Conficker简介 Conficker传播途径 Conficker病毒分析 Conficker症状 Conficker解决方案,目 录,Conficker简介,Conficker 概述 Conficker,也被称作Downup,Downadup或Kido,Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。迄今已出现了四个版本,每个版本的变种也非常多,目前全球已有超过1500万台电脑受到感染,在国内目前主要集中发生在局域网用户上。Conficker主要利用Windows操作系统MS08-067漏洞、
2、共享传播,同时也借助任何有USB接口的硬件设备来感染。 这个蠕虫利用的是一个已知的被用于Windows 2000,Windows xp,Windows vista,Windows server 2003和Windows server 2008操作系统的服务漏洞。Linux和Macintosh操作系统不会受到这个病毒的影响。,Conficker简介,Conficker 主要影响事件 一位法国士兵便是在家使用U盘中了Conficker,随后法国海军内网被大面积感染,军方如临大敌,不仅切断所有Web与电邮系统,部分战机的起飞计划也被突然叫停。随后,英国、德国的军事系统也爆出大面积感染Conficke
3、r蠕虫的消息,其传播能力与影响力可见一斑。 英国议会IT系统被Conficker感染,导致账户被锁定以及整体网络运行速度降低。 大闹牛津大学 微软悬赏25万美元寻求该病毒制作者线索,Conficker传播途径,操作系统漏洞 利用windows操作系统已知的一个服务的缓冲区漏洞(MS08-067) 网络共享 局域网内查询共享,暴力猜测密码,进行共享传播 USB接口移动设备 发现移动设备后写入Autorun,借助移动设备进行传播,Conficker病毒分析,病毒行为分析: 1)复制自身到system32下,注册为服务后再删除病毒自身; 2)创建互斥体,避免在目标机器重复感染; 3)判断年、月、日是
4、否分别大于2008.12.1,如果有一项成立则到指定链接下载程序并运行; 4)删除系统还原点,防止通过还原系统来清除该蠕虫; 5)枚举可移动磁盘,建立“Autorun.inf”和病毒副本,利用自动播放进行传播; 6)枚举局域网其他主机,从网段起始IP开始感染局域网其他主机,尝试建立空连接,根据返回尝试溢出,溢出失败则继续尝试下个IP,如果成功则远程执行下载蠕虫并运行; 7)枚举局域网其他主机,通过自身字典暴力破解共享密码,破解成功则将蠕虫文件拷贝至共享目录并且运行;,Conficker病毒分析,它是如何实现病毒体更新的? Conficker蠕虫病毒最新的版本改变了更新方式,他将尝试从50000
5、个域名中随机挑选500个域名,10秒-50秒的时间间隔发送请求,以试图与恶意软件制造者通信;另外,该病毒还采用了点对点(P2P)机制,使它能够从其他已经感染Conficker计算机中分配和接收命令。这种新的更新机制将从2009年4月1日开始执行。 P2P 的机制为 Conficker蠕虫病毒开辟了新渠道,能够更方便地从病毒制造者处接受和分配恶意代码。这些代码非常复杂,也逐渐开始不再依赖于域名来进行通信,可能是由于反病毒行业联合打击Conficker病毒,而使该恶意软件制造者不得不作出改变。,Conficker病毒分析,病毒服务器,每天尝试从50000个域名中随机连接500个,每天尝试从5000
6、0个域名中随机连接500个,每天尝试从50000个域名中随机连接500个,P2P,P2P,P2P,Conficker症状,网络变慢 创建很多的计划任务 部分安全软件厂商网站无法打开 某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS ), WindowsDefender和错误报告服务 域控制器对客户机请求回应变得缓慢。,Conficker症状,Conficker症状,注意: 如果有用户反馈微点主动防御软件不能处理Conficker病毒,需要用户提供病毒文件以及计划任务文件。 计划任务:c:windowstasks目录 病毒文件:可以通过查看计划任务的具体内容,找到病毒体,Conficker解决方案,安装微点主动防御软件 更新操作系统补丁 禁止使用U盘 使用防病毒软件清除病毒 设置强口令 备注:如果未安装微点主动防御软件,以上操作需要在断网情况下操作,操作完毕才可以接入网络,避免再次感染。,病毒不可怕,重要的是去了解它!,谢谢!,
