飞客蠕虫病毒的介绍与处理办法
2022-7-17 08:9:11 Author: 系统安全运维(查看原文) 阅读量:17 收藏

0x1 飞客蠕虫

国外常用叫法conficker,kido, downup,downadup

常用端口:445、139

中毒症状:请求解析随机域名(DGA)、不能正常访问安全厂商的网站或服务器、下载木马。主要通过系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll,一般为方便开机即运行该蠕虫,有其对应的开机启动服务项

利用漏洞:MS08-067漏洞

影响系统:受影响的系统包括Windows2000、Windows XP、WindowsServer 2003、Windows Vista、WindowsServer 2008

补丁号:KB958644

0x2中毒现象

无法访问安全类的站点

防止更新,主要涉及以下关键字。可以考虑从可疑进程中查找这些关键字。

病毒母体文件dll释放

%System%\[Random].dll%Program Files%\Internet Explorer\[Random].dll%Program Files%\Movie Maker\[Random].dll%All Users Application Data%\[Random].dll%Temp%\[Random].dll%System%\[Random].tmp%Temp%\[Random].tmp

线程注入

svchost.exeexplorer.exeservices.exe

暴力破解

使用NetServerEnum、NetUserEnum等API进行网络共享(SMB)弱密码破解,破解字典如下

adminadmin1admin12admin123adminadminadministratoranythingasddsaasdfgh

DGA算法

内置了一个DGA算法,会尝试链接DGA类域名

0x3 检测

基于飞客蠕虫会阻塞安全类站点:

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

飞客蠕虫会在短时间内访问大量DGA类域名,多数是解析失败的

在主机可上网的情况下,还可以通过检查主机是否开启了形如 :

https://%ExternalIPAddress%:%RandomPort%类的服务,访问形如 https://%PredictableDomainsIPAddress%/search?q=%d类的URL

0x4 查杀

专杀工具:http://media.kaspersky.com/utilities/VirusUtilities/EN/kidokiller.zip

0x5 加固

微软官网下载MS08-067漏洞补丁包,并打上该补丁包

补丁包也可以参考下面这个链接:

http://blog.csdn.net/netcoder/article/details/3502873

原文链接:https://blog.csdn.net/momo_sleet/article/details/81099605

好文推荐

工具|红队快速批量打点

实战 | App优惠劵无限领取漏洞挖掘记录

利用 EHole 进行红队快速批量打点

神兵利器 - presshell

渗透测试-Ngrok内网映射与穿透

分享 | 几种实战成功过的webshell免杀方式

推荐一款自动向hackerone发送漏洞报告的扫描器

李姐姐开源DNSLog工具eyes.sh

欢迎关注 系统安全运维


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247505315&idx=3&sn=aa985a7820e84a805d650fb7d25235de&chksm=c30806d3f47f8fc575187cf40698461ae3a6b0a6422b07bb0d8f99d126393e75d91e4ffc5a33#rd
如有侵权请联系:admin#unsafe.sh