飞客蠕虫介绍
国外常用叫法conficker,kido, downup,downadup 常用端口:445、139 中毒症状:请求解析随机域名(DGA)、不能正常访问安全厂商的网站或服务器、下载木马。主要通过系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll,一般为方便开机即运行该蠕虫,有其对应的开机启动服务项 利用漏洞:MS08-067漏洞 影响系统:受影响的系统包括Windows2000、Windows XP、WindowsServer 2003、Windows Vista、WindowsServer 2008 补丁号:KB958644
中毒现象主要为不能访问安全站点,可考虑在进程中查找下列进程。 病毒的感染过程 病毒母体文件dll释放
%System%\[Random].dll %Program Files%\Internet Explorer\[Random].dll %Program Files%\Movie Maker\[Random].dll %All Users Application Data%\[Random].dll %Temp%\[Random].dll %System%\[Random].tmp %Temp%\[Random].tmp
线程注入
使用NetServerEnum、NetUserEnum等API进行网络共享(SMB)弱密码破解,破解字典如下
查杀飞客蠕虫 1.关闭网络共享,或者关闭Server、Computer Browser、Workstation这三个服务,如果害怕关闭服务会影响业务功能,可以暂时先断网以替代。 2.使用飞客蠕虫专杀工具进行查杀和清理 最后也是最重要的就是到微软官网下载MS08-067漏洞补丁包,并打上该补丁包(注意,这个必须做,如果不做下次还会反复感染飞客蠕虫)。 |