飞客蠕虫(Conficker)

已于 2022-01-20 15:54:31 修改
阅读量3.7k 收藏 6
点赞数
分类专栏: 安全知识 文章标签: 安全 网络 web安全 网络协议
于 2022-01-20 15:35:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/122602774
版权

飞客蠕虫(Conficker)

1、病毒简介

1什么是飞客蠕虫Conficker

飞客蠕虫(国外常用叫法conficker, kido, downup,downadup)是利用微软MS08-067漏洞发起攻击的蠕虫病毒,常用端口是445、139,中毒症状包括请求解析随机域名、不能正常访问安全厂商的网站或服务器、下载木马。飞客蠕虫主要通过这些系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll,此病毒dll的名字是随机值,一般为方便开机即运行该蠕虫,有其对应的开机启动服务项,一般也是一个随机值。 

2.MS08-067漏洞

如果用户在受影响的系统上收到特制的RPC(远程过程调用)请求,则该漏洞可能允许远程执行代码。攻击者可能未经身份验证即可利用此漏洞运行任意代码 此漏洞可能用于进行蠕虫攻击。受影响的系统包括Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008,此外Win7的一个测试版本(Win7 Pre Beta)也受到影响(正式版本没有问题)。详细介绍,可以参看微软安全公告KB958644。一般来讲,为提高安全性,受此漏洞影响的操作系统需要打上相应的漏洞补丁包。

2、病毒危害

1 阻塞安全类站点

中飞客蠕虫的一个最明显现象是,基本上,所有访问安全类站点的行为都被阻塞了,即受感染主机是无法更新漏洞补丁包或者更新杀毒工具病毒库。

飞客蠕虫内置如下的字典,用于阻塞安全类站点:

 virus

spyware

malware

rootkit

defender

microsoft

symantec

norton

mcafee

trendmicro

sophos

panda

etrust

networkassociates

computerassociates

f-secure

kaspersky

jotti

f-prot

nod32

eset

grisoft

drweb

centralcommand

ahnlab

esafe

avast

avira

quickheal

comodo

clamav

ewido

fortinet

gdata

hacksoft

hauri

ikarus

k7computing

norman

pctools

prevx

rising

securecomputing

sunbelt

emsisoft

arcabit

cpsecure

spamhaus

castlecops

threatexpert

wilderssecurity

windowsupdate

nai

ca

avp

avg

vet

bit9

sans

cert

实现方式主要是hook以下DNS相关的API调用:

DNS_Query_A

DNS_Query_UTF8

DNS_Query_W

Query_Main

sendto

2. 受感染的文件路径

飞客蠕虫会把复制病毒体到如下文件路径:

%System%/[Random].dll

%Program Files%/Internet Explorer/[Random].dll

%Program Files%/Movie Maker/[Random].dll

%All Users Application Data%/[Random].dll

%Temp%/[Random].dll

%System%/[Random].tmp

%Temp%/[Random].tmp

此外,以下文件也是飞客蠕虫所释放的:

%DriveLetter%/RECYCLER/S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d/[...].[3 random characters]

%DriveLetter%/autorun.inf

3 受感染的进程

飞客蠕虫病毒体并不是exe,而是dll,它不是以独立进程存在的,其主要“寄生”在以下3种系统进程中。需要说明的是,不是感染svchost.exe等的文件,而是注入病毒体dll到svchost.exe等的进程空间模块中去。

svchost.exe

explorer.exe

services.exe

4 受影响的注册表

以下注册表项是飞客蠕虫所创建或者修改的:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters'TcpNumConnections' = dword:0x00FFFFFE

HKLM/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/GloballyOpenPorts/List, [PortNumber]:TCP = '[PortNumber]:TCP:*Enabled:[random]'

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHO WALLCheckedValue = dword:00000000

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost, netsvcs = %Previous data% and %Random%

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/[random]Type = dword:00000001Start = dword:00000003ErrorControl = dword:00000000ImagePath = '/.../%MalwarePath%/[random].tmp'DisplayName = [Random]

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ DisplayName = %ServiceName% Type = dword:00000020 Start = dword:00000002 ErrorControl = dword:00000000 ImagePath = '%SystemRoot%/system32/svchost.exe -k netsvcs' ObjectName = '/LocalSystem'/ Description = %description%

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/[random]/ParametersServiceDll = %MalwarePath%

5 网络行为

使用NetServerEnum、NetUserEnum等API进行网络共享弱密码破解,破解字典如下(部分):

admin

admin1

admin12

admin123

adminadmin

administrator

anything

asddsa

asdfgh

……

破解成功,则复制病毒体到相应主机路径:

\[Server Host Name]/ADMIN$/System32/[random filename].[random extension]

再尝试执行如下命令:

rundll32.exe [random filename].[random extension], [random]

本地会创建服务端口,以提供病毒体的下载链接:

https://%ExternalIPAddress%:%RandomPort%

本地会访问如下形式的URL,以下载更多木马或病毒:

https://%PredictableDomainsIPAddress%/search?q=%d

此外,飞客蠕虫内置了一个DGA算法,会尝试链接DGA类域名。

3、检测与查杀

1 网络行为检测

目前一个比较简单通用的判断主机是否中了飞客蠕虫的方法,是基于飞客蠕虫会阻塞安全类站点的。在主机访问以下这个链接,根据阻塞结果来判断是否中了飞客蠕虫。

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

基本原理:安全类站点和非安全类站点各选1批,如果非安全类站点都能正常访问,安全类站点都不能访问,则认为中了飞客蠕虫。

另外,由于飞客蠕虫会hook DNS查询相关的API(DNS_Query_A、DNS_Query_UTF8、DNS_Query_W、Query_Main、sendto),如果我们能检测到这类hook,也可以做为中飞客蠕虫的依据。

此外,飞客蠕虫会在短时间内访问大量DGA类域名,多数是解析失败的,也是其重要网络特征。

在主机可上网的情况下,还可以通过检查主机是否开启了形如 https://%ExternalIPAddress%:%RandomPort% 类的服务,以及是否会访问形如 https://%PredictableDomainsIPAddress%/search?q=%d 类的URL来判断是否中了飞客蠕虫。

2 文件路径扫描

第2章节的2.2小节“受感染的文件路径”,基本上就是飞客蠕虫常见感染路径,因此直接对这些路径文件进行扫描,以判断是否中了飞客蠕虫。

文件路径参考2.2小节即可。

3 注册表检查

节的2.4小节“受影响的注册表”,基本上就是飞客蠕虫常见的会去创建或修改的注册表项。如果这类注册表项存在,则可认为已经中了飞客蠕虫。

详细注册表项参看2.2小节。

4 进程dll检测与脱离

飞客蠕虫并不是以独立进程(exe)形式存在的,它主要“寄生”在一些系统进程上,如svchost.exe、explorer.exe、services.exe,存在形式是注入飞客蠕虫dll到进程空间中去。

因此,专杀工具需要对以上3种进程进行模块空间遍历,发现隐藏在其中的dll,并且使该dll脱离进程空间。

5 漏洞补丁包

专杀工具最好带上MS08-067的补丁包,或者提醒客户打上补丁。因为即使专杀工具查杀了,但是没有及时补上漏洞,过不了多久,局域网内其它中了飞客蠕虫的主机仍然会使之感染。

Sword-heart
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
飞客病毒(conficker)专杀工具.rar
03-20
飞客病毒专杀工具,针对病毒 必杀 很给力!
Conficker蠕虫病毒专杀工具集锦
weixin_34038293的博客
08-10 2403
Conficker蠕虫病毒专杀工具集锦  (来自ESET/Sophos/Symantec/BitDefender/Kaspersky):  ESETWin32/ConfickerWormRemovalTool下载:  http://www.ziddu.com/download/4162949/EConfickerRemover.rar.html  Sophos公司发布的Conficker蠕虫病毒专...
常用问题排查工具和分析神器,值得收藏_process explorer进程注入排查(2)
最新发布
2401_84973321的博客
05-16 810
文件系统查看,支持基本的文件操作。查看(编辑)IE 插件、SPI、启动项、服务、Host 文件、映像劫持、文件关联、系统防火墙规则、IME。13.ObjectType Hook 检测和恢复。14.DPC 定时器检测和删除。15.MBR Rootkit 检测和修复。内核对象劫持检测。其它一些手工杀毒时需要用到的功能,如修复 LSP、修复安全模式等。功能:XueTr 的增强版,功能和 XueTr 差不多,可参考上图。推荐更多使用 PCHunter,减少出故障的概率。
conficker(conficker病毒感染后会怎么样)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 470
抵御Conficker攻击 保护Windows系统安全 1. 安装安全更新MS08-067,了解关于该漏洞的详细信息、受影响软件、检测和部署工具和指导方案和安全更新部署信息等。 2. 请确保你运行的防病毒软件已经安全最新安全更新,并请选择有良好信誉的供应商。 3. 检查安全软件或者设备(如防病毒网络入侵检查系统或者主...
conficker病毒
weixin_33958366的博客
06-02 414
最近公司出现了很多电脑中了蠕虫病毒conficker,刚开始只有一两台,我并没有放在心上,直到公司出现上网速度比较慢的时候,这才发现这个病毒的厉害了,后来在防火墙上面查看了有很多连接445端口的电脑向外发包,连接一些乱七八糟的网站,我想内网肯定是中毒了,防火墙反应奇慢无比,网络带宽也给耗尽,先关闭445端口,恢复正常的网速,然后再在内网中查杀中毒的电脑,通过sniffer p...
飞客蠕虫 执子之手 与子携老
weixin_34351321的博客
08-01 425
七年前的僵尸网络,至今依然存在。似乎一旦感染,就永远无法摆脱。 2008年底,名为飞客(Conficker)的蠕虫病毒开始感染数百万台电脑,计算机安全社区大为震惊,迅速采取行动。 Gameover Zeus僵尸网络感染情况 飞客的快速传播令人十分惊恐,以致专门成立了一个名为“飞客工作小组”的组织来阻止僵尸网络的蔓延以及找出该蠕虫病毒的制造者。 很多国家...
飞客蠕虫病毒?分析、定位、处理
weixin_40111182的博客
12-29 1540
飞客蠕虫病毒?分析、定位、处理 一、防火墙发现告警 近期同一部门两个同事的电脑都有该告警。目的ip:104.18.120.91、104.18.119.91。虽然该部门不能上外网,出于严谨还是决定一探究竟。 初步分析: 百度查询该ip信息得知为美国ip,53端口为dns服务器所开放,主要用于域名解析。应该是某进程访问某一网址去该目的ip请求域名解析。 微步在线先看下该ip情况: 未发现目的有异常。 ...
清除Conficker蠕虫病毒详细步骤
weixin_34413802的博客
08-10 2312
Conficker简介:        Worm:Win32/Conficker.B.9.831 ,利用MS-0867漏洞的蠕虫。        conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefend...
飞客蠕虫病毒的介绍与处理办法
热门推荐
si1ence的博客
07-18 1万+
0x1 飞客蠕虫 国外常用叫法conficker,kido, downup,downadup 常用端口:445、139 中毒症状:请求解析随机域名(DGA)、不能正常访问安全厂商的网站或服务器、下载木马。主要通过系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll,一般为方便开机即运行该蠕虫,有其对应的开机启动服务项 利用漏洞:MS08-0...
Conficker专杀工具
06-12
Symantec专杀工具,卡巴斯基KIDO专杀工具(Downadup-Conficker) ,conficker病毒局域网检测工具
飞客蠕虫病毒专杀工具
03-01
飞客蠕虫病毒专杀工具,包含专杀工具和各版本操作系统的补丁。
Windows 飞客蠕虫专杀工具
01-30
飞客蠕虫(Hack Exploit Win32 MS08-067)是一个利用微软 MS08-067 漏洞发起攻击的蠕虫病毒。该病毒会对随机生成的IP地址发起攻击,攻击成功后会下载一个木马病毒,通过修改注册表键值来使某免费安全工具功能失效。病毒会修改hosts文件,使用户无法正常访问安全厂商网站及服务器。
一款非常实用的蠕虫专杀工具
03-18
这是很有效的蠕虫专杀工具,可以让你的电脑远离蠕虫的侵入!
飞客蠕虫专杀.zip。
11-24
飞客蠕虫专杀.zip。
Conficker蠕虫病毒快速查杀方法
05-19
网上搜集的卡巴专杀工具,快速扫描,只针对前3次变种,一般结果为清除2个病毒。 清除后需要安装补丁后在接入网络,局域网中有感染的机器,需要关闭共享,并全体清除 额外需要手动清除所有本地分区的autorun文件
Conficker.AE病毒局域网扫描工具
05-04
可以检测域域网内所有电脑是否中了Conficker.AE病毒
飞客蠕虫专杀.rar
06-21
飞客蠕虫是一种恶意软件,尤其在互联网早期广泛传播,对个人电脑和网络造成了极大的安全隐患。蠕虫病毒通常自我复制并利用系统漏洞进行传播,不需人为干预即可在计算机网络中迅速扩散。"飞客蠕虫专杀"是针对这种特定...
专杀工具飞客蠕虫专杀.zip
05-28
专杀工具飞客蠕虫专杀.zip
【Python脚本进阶】2.4、conficker蠕虫(下):暴破口令,远程执行进程
07-31 380
【Python脚本进阶】暴破口令,远程执行进程
黑客、骇客、红客、蓝客、飞客是什么?有什么区别?
04-12
黑客(Hacker)、骇客(Cracker)、红客(Red Hacker)、蓝客(Blue Hacker)和飞客(Gray Hacker)都属于计算机领域的术语。黑客是指专注于技术研究和探究的计算机爱好者,骇客则是指利用技术手段侵犯计算机安全的人。红客是指利用技术手段为维护国家安全和社会利益等正当目的进行网络攻击的人,而蓝客则是指为保护计算机安全而进行网络防御的人。而飞客则是指既会攻击,又会防御的计算机专家,有时会以中立的态度出现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值