conficker(conficker病毒感染后会怎么样)

叶涛网站推广优化

于 2022-02-25 08:40:07 发布

阅读量438

点赞数

文章标签： microsoft 网络系统安全安全

本文链接：https://blog.csdn.net/yetaodiao/article/details/127367109

版权

抵御Conficker攻击保护Windows系统安全

1. 安装安全更新MS08-067，了解关于该漏洞的详细信息、受影响软件、检测和部署工具和指导方案和安全更新部署信息等。

2. 请确保你运行的防病毒软件已经安全最新安全更新，并请选择有良好信誉的供应商。

3. 检查安全软件或者设备(如防病毒网络入侵检查系统或者主机入侵检查系统等)更新保护功能。

？本文转自e800.com.cn 最好的方法给机子装一款好的防火墙，并经常杀毒.

conficker.worm.gen.a是什么病毒？

W32/Conficker.worm.gen (Symantec)

Mal/Conficker (Sophos)

性质：蠕虫

平台：Windows

传播途径：系统传播、网络传播。

中毒症状：

1.释放如下文件：

%System%\[Random].dll

%Program Files%\Internet Explorer\[Random].dll

%Program Files%\Movie Maker\[Random].dll

%All Users Application Data%\[Random].dll

%Temp%\[Random].dll

%System%\[Random].tmp

%Temp%\[Random].tmp

2.感染移动存储介质：

%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]

%DriveLetter%\autorun.inf

3.注入进程：

svchost.exe

explorer.exe

services.exe

3.停用下面系统服务：

Windows Automatic Update Service (wuauserv)

Background Intelligent Transfer Service (BITS)

Windows Security Center Service (wscsvc)

Windows Defender Service (WinDefend)

Windows Error Reporting Service (ERSvc)

Windows Error Reporting Service (WerSvc)

4.Vista下还会运行下面命令行语句：

netsh interface tcp set global autotuning=disabled

5.该蠕虫使用api hook，

DNS_Query_A

DNS_Query_UTF8

DNS_Query_W

Query_Main

sendto

劫持用户访问带有下列字符的网站：

virus

spyware

malware

rootkit

defender

microsoft

symantec

norton

mcafee

trendmicro

sophos

panda

etrust

networkassociates

computerassociates

f-secure

kaspersky

jotti

f-prot

nod32

eset

grisoft

drweb

centralcommand

ahnlab

esafe

avast

avira

quickheal

comodo

clamav

ewido

fortinet

gdata

hacksoft

hauri

ikarus

k7computing

norman

pctools

prevx

rising

securecomputing

sunbelt

emsisoft

arcabit

cpsecure

spamhaus

castlecops

threatexpert

wilderssecurity

windowsupdate

bit9

sans

cert

6.修改以下注册表项达到迅速传播的目的：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

"TcpNumConnections" = dword:0x00FFFFFE

7.通过MS08-067漏洞传播。

8.开放http服务传播。

9.上网下载病毒文件。

10.修改以下注册表项：

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List, [PortNumber]:TCP = "[PortNumber]:TCP:*Enabled:[random]"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]

Type = dword:00000001

Start = dword:00000003

ErrorControl = dword:00000000

ImagePath = "\...\%MalwarePath%\[random].tmp"

DisplayName = [Random]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

DisplayName = %ServiceName%

Type = dword:00000020

Start = dword:00000002

ErrorControl = dword:00000000

ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"

ObjectName = "LocalSystem"

Description = %description%

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]\Parameters

ServiceDll = %MalwarePath%

解决方法：

1.升级安装windows补丁，MS08-067漏洞补丁极为重要。

2.谨慎使用优盘等移动介质。

3.安装防病毒软件，并升级到最新病毒库,进行全盘杀毒。

4.为windows设置一个较为强劲的密码。

5.如果发现局域网中感染，立即切断其网络进行处理。

6.专杀工具：

?product=chktrust下载360安全卫士扫描一下。360对付木马很好用，有自带多种专杀，

配合专杀使用，查杀效果更好。蠕虫。会发带毒邮件或者冲击波阻塞网络。w32/conficker.worm.gen (symantec) mal/conficker (sophos) 性质：蠕虫平台：windows 传播途径：系统传播、网络传播。中毒症状： 1.释放如下文件： %system%\[random].dll %program files%\internet explorer\[random].dll %program files%\movie maker\[random].dll %all users application data%\[random].dll %temp%\[random].dll %system%\[random].tmp %temp%\[random].tmp 2.感染移动存储介质： %driveletter%\recycler\s-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters] %driveletter%\autorun.inf 3.注入进程： svchost.exe explorer.exe services.exe 3.停用下面系统服务： windows automatic update service (wuauserv) background intelligent transfer service (bits) windows security center service (wscsvc) windows defender service (windefend) windows error reporting service (ersvc) windows error reporting service (wersvc) 4.vista下还会运行下面命令行语句： netsh interface tcp set global autotuning=disabled 5.该蠕虫使用api hook， dns_query_a dns_query_utf8 dns_query_w query_main sendto 劫持用户访问带有下列字符的网站： virus spyware malware rootkit defender microsoft symantec norton mcafee trendmicro sophos panda etrust networkassociates computerassociates f-secure kaspersky jotti f-prot nod32 eset grisoft drweb centralcommand ahnlab esafe avast avira quickheal comodo clamav ewido fortinet gdata hacksoft hauri ikarus k7computing norman pctools prevx rising securecomputing sunbelt emsisoft arcabit cpsecure spamhaus castlecops threatexpert wilderssecurity windowsupdate nai ca avp avg vet bit9 sans cert 6.修改以下注册表项达到迅速传播的目的： hkey_local_machine\system\currentcontrolset\services\tcpip\parameters "tcpnumconnections" = dword:0x00fffffe 7.通过ms08-067漏洞传播。 8.开放http服务传播。 9.上网下载病毒文件。 10.修改以下注册表项： hklm\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\globally

叶涛网站推广优化

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
conficker(conficker病毒感染后会怎么样)

抵御Conficker攻击保护Windows系统安全1. 安装安全更新MS08-067，了解关于该漏洞的详细信息、受影响软件、检测和部署工具和指导方案和安全更新部署信息等。2. 请确保你运行的防病毒软件已经安全最新安全更新，并请选择有良好信誉的供应商。3. 检查安全软件或者设备(如防病毒网络入侵检查系统或者主...
复制链接

扫一扫