飞客蠕⾍(Conficker)
高考分数每门多少分飞客蠕⾍(Conficker)
1、病毒简介
1什么是飞客蠕⾍Conficker
飞客蠕⾍(国外常⽤叫法conficker, kido, downup,downadup)是利⽤微软MS08-067漏洞发起攻击的蠕⾍病毒,常⽤端⼝是445、139,中毒症状包括请求解析随机域名、不能正常访问安全⼚商的⽹站或服务器、下载⽊马。飞客蠕⾍主要通过这些系统进程
<、、注⼊⾃⼰的病毒dll,此病毒dll的名字是随机值,⼀般为⽅便开机即运⾏该蠕⾍,有其对应的开机启动服务项,⼀般也是⼀个随机值。
2.MS08-067漏洞
如果⽤户在受影响的系统上收到特制的RPC(远程过程调⽤)请求,则该漏洞可能允许远程执⾏代码。攻击者可能未经⾝份验证即可利⽤此漏洞运⾏任意代码 此漏洞可能⽤于进⾏蠕⾍攻击。受影响的系统包括Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008,此外
Win7的⼀个测试版本(Win7 Pre Beta)也受到影响(正式版本没有问题)。详细介绍,可以参看微软安全公告KB958644。⼀般来讲,为提⾼安全性,受此漏洞影响的操作系统需要打上相应的漏洞补丁包。
2、病毒危害
1 阻塞安全类站点
中飞客蠕⾍的⼀个最明显现象是,基本上,所有访问安全类站点的⾏为都被阻塞了,即受感染主机是⽆法更新漏洞补丁包或者更新杀毒⼯具病毒库。
飞客蠕⾍内置如下的字典,⽤于阻塞安全类站点:
指数计算virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust networkassociates computerassociates f-cure
kaspersky
jotti
赫西俄德
f-prot
nod32
et
grisoft
drweb centralcommand ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing norman
pctools
prevx
rising
curecomputing
sunbelt
emsisoft
arcabit
cpcure
节水小窍门
spamhaus
castlecops
threatexpert
wilderscurity
windowsupdate
nai
ca
avp
avg
vet
bit9
sans
cert
实现⽅式主要是hook以下DNS相关的API调⽤:
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
ndto
2. 受感染的⽂件路径
飞客蠕⾍会把复制病毒体到如下⽂件路径:
%System%/[Random].dll
%Program Files%/Internet Explorer/[Random].dll %Program Files%/Movie Maker/[Random].dll
%All Urs Application Data%/[Random].dll
%Temp%/[Random].dll
%System%/[Random].tmp
%Temp%/[Random].tmp
此外,以下⽂件也是飞客蠕⾍所释放的:
%DriveLetter%/RECYCLER/S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d/[...].[3 random characters]
%DriveLetter%/autorun.inf
欢乐颂百度云3 受感染的进程
飞客蠕⾍病毒体并不是exe,⽽是dll,它不是以独⽴进程存在的,其主要“寄⽣”在以下3种系统进程中。需要说明的是,不是感染等的⽂件,⽽是注⼊病毒体dll到等的进程空间模块中去。
<
<
<
4 受影响的注册表
以下注册表项是飞客蠕⾍所创建或者修改的:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters'TcpNumConnections' =
dword:0x00FFFFFE
HKLM/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/GloballyOpenPorts/Li [PortNumber]:TCP = '[PortNumber]:TCP:*Enabled:[random]'
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHO WALLCheckedValue = dword:00000000
wateHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost, netsvcs = %Previous data% and
%Random%
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/[random]Type = dword:00000001Start =
dword:00000003ErrorControl = dword:00000000ImagePath = '/.../%MalwarePath%/[random].tmp'DisplayName = [Random]
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ DisplayName = %ServiceName% Type = dword:00000020 Start = dword:00000002 ErrorControl = dword:00000000 ImagePath = '%SystemRoot%/ -k
netsvcs' ObjectName = '/LocalSystem'/ Description = %description%
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/[random]/ParametersServiceDll = %MalwarePath%
5 ⽹络⾏为
使⽤NetServerEnum、NetUrEnum等API进⾏⽹络共享弱密码破解,破解字典如下(部分):
admin
admin1
人体艺术摄影图admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
……
柳体楷书
破解成功,则复制病毒体到相应主机路径:
\[Server Host Name]/ADMIN$/System32/[random filename].[random extension]再尝试执⾏如下命令:
< [random filename].[random extension], [random]
本地会创建服务端⼝,以提供病毒体的下载链接:
本地会访问如下形式的URL,以下载更多⽊马或病毒:
此外,飞客蠕⾍内置了⼀个DGA算法,会尝试链接DGA类域名。
