0x1 飞客蠕虫
国外多被称为conficker、kido、downup、downadup
常用端口: 445、139
中毒症状:要求随机域名(DGA )分析、安全供应商成功访问网站和服务器以及木马下载。 主要通过系统进程explorer.exe、services.exe和svchost.exe注入自己的病毒dll,通常有相应的开机启动服务项目,以便开机后立即运行
利用漏洞: MS08-067漏洞
受影响的系统:受影响的系统包括Windows2000、Windows XP、WindowsServer 2003、Windows Vista和WindowsServer 2008
修补程序编号: KB958644
0x2中毒现象
无法访问安全类网站
要防止更新,主要涉及以下关键字。 可以考虑从可疑进程中查找这些关键字。
母体文件dll的发行
% system %[ random ].dll % program files %internet explorer[ random ].dll % program files %movie maker[ raner ] [ random ].dll % temp %[ random ].dll % system %[ random ].tmp %[ random ].tmp线程注入
svchost.exe explorer.exe services.exe暴力解读
使用NetServerEnum、NetUserEnum等API进行网络共享(SMB )的弱加密解密,解密词典如下
admin admin1admin 12 admin 123 adminadministratoranythingasddsaasdfghdga算法
内置的DGA算法尝试链接DGA类的域名
0x3 检测
基于蠕虫阻止安全站点:
33558 www.confickerworkinggroup.org/infection _ test/cfeyechart.html
蠕虫会在短时间内访问大量DGA域名,大多数分析失败
如果主机可以连接到互联网,还可以检查主机是否已打开。
是否要访问3359 %外部IP地址3360 % random端口%类的服务,例如https://% predictabledomainsipaddress %/search? q=%d类的URL
0x4 查杀
特杀工具: http://media.Kaspersky.com/utilities/virus utilities/en/kido killer.zip
0x5 加固
微软官网下载MS08-067漏洞补丁并安装该补丁
修补程序还可以参考以下链接:
3358 blog.csdn.net/net coder/article/details/3502873