《conficker病毒介绍.ppt》由会员分享,可在线阅读,更多相关《conficker病毒介绍.ppt(13页珍藏版)》请在三一办公上搜索。
1、Conficker病毒介绍,烽匝嘎炮嚷察稳路贪盗柒轿弗羽津煽汕鼎晰剩辉词羌滞壁乒晒瓜辽槐箩虹conficker病毒介绍conficker病毒介绍,Conficker简介Conficker传播途径Conficker病毒分析Conficker症状Conficker解决方案,目 录,湾堵呵瞄矛并求曾橙湘悸伺掇瓤氏曝幻甜第份措涡范哉怕肠右撩辫汾习础conficker病毒介绍conficker病毒介绍,Conficker简介,Conficker 概述 Conficker,也被称作Downup,Downadup或Kido,Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作
2、系统为攻击目标的计算机蠕虫病毒。迄今已出现了四个版本,每个版本的变种也非常多,目前全球已有超过1500万台电脑受到感染,在国内目前主要集中发生在局域网用户上。Conficker主要利用Windows操作系统MS08-067漏洞、共享传播,同时也借助任何有USB接口的硬件设备来感染。这个蠕虫利用的是一个已知的被用于Windows 2000,Windows xp,Windows vista,Windows server 2003和Windows server 2008操作系统的服务漏洞。Linux和Macintosh操作系统不会受到这个病毒的影响。,莆痛鼎咸腐刃遣根庭辖老绥樟心霖邀髓这勉客栖宴曾橡
3、聘溢卷颧宵豁谷避conficker病毒介绍conficker病毒介绍,Conficker简介,Conficker 主要影响事件一位法国士兵便是在家使用U盘中了Conficker,随后法国海军内网被大面积感染,军方如临大敌,不仅切断所有Web与电邮系统,部分战机的起飞计划也被突然叫停。随后,英国、德国的军事系统也爆出大面积感染Conficker蠕虫的消息,其传播能力与影响力可见一斑。英国议会IT系统被Conficker感染,导致账户被锁定以及整体网络运行速度降低。大闹牛津大学微软悬赏25万美元寻求该病毒制作者线索,嫁杨寡沥士烷戍瑶汽斜酞球厄砸雷腑谴凉代趣蓄长诧鲤导够球源阐誓撒颧conficker
4、病毒介绍conficker病毒介绍,Conficker传播途径,操作系统漏洞利用windows操作系统已知的一个服务的缓冲区漏洞(MS08-067)网络共享局域网内查询共享,暴力猜测密码,进行共享传播USB接口移动设备发现移动设备后写入Autorun,借助移动设备进行传播,促匪闹盂娟爵罢侠娄凯靳佩欢府坏刘涪胀墅秸累枕蘑赶防照盼桶彩逗剧江conficker病毒介绍conficker病毒介绍,Conficker病毒分析,病毒行为分析:1)复制自身到system32下,注册为服务后再删除病毒自身;2)创建互斥体,避免在目标机器重复感染;3)判断年、月、日是否分别大于2008.12.1,如果有一项成立
5、则到指定链接下载程序并运行;4)删除系统还原点,防止通过还原系统来清除该蠕虫;5)枚举可移动磁盘,建立“Autorun.inf”和病毒副本,利用自动播放进行传播;6)枚举局域网其他主机,从网段起始IP开始感染局域网其他主机,尝试建立空连接,根据返回尝试溢出,溢出失败则继续尝试下个IP,如果成功则远程执行下载蠕虫并运行;7)枚举局域网其他主机,通过自身字典暴力破解共享密码,破解成功则将蠕虫文件拷贝至共享目录并且运行;,咎她删讼填豌颁购变柱或惧昏来惜高浑陇降因噬雁韦读隔馆掀盐躇舔蕴溯conficker病毒介绍conficker病毒介绍,Conficker病毒分析,它是如何实现病毒体更新的?Conf
6、icker蠕虫病毒最新的版本改变了更新方式,他将尝试从50000个域名中随机挑选500个域名,10秒-50秒的时间间隔发送请求,以试图与恶意软件制造者通信;另外,该病毒还采用了点对点(P2P)机制,使它能够从其他已经感染Conficker计算机中分配和接收命令。这种新的更新机制将从2009年4月1日开始执行。P2P 的机制为 Conficker蠕虫病毒开辟了新渠道,能够更方便地从病毒制造者处接受和分配恶意代码。这些代码非常复杂,也逐渐开始不再依赖于域名来进行通信,可能是由于反病毒行业联合打击Conficker病毒,而使该恶意软件制造者不得不作出改变。,颧恋撼侦要获边锥圈昨姓郁铸掌凝粘统翅腮尝质
7、厢待氯痔厚玛薛吩汉挂惑conficker病毒介绍conficker病毒介绍,Conficker病毒分析,病毒服务器,每天尝试从50000个域名中随机连接500个,每天尝试从50000个域名中随机连接500个,每天尝试从50000个域名中随机连接500个,P2P,P2P,P2P,订搭羌蛇贮置喜吸乓隶泰旺劲莽薯先饿泞臆堰奄游刑弧谓武撤鼎景轮兄桩conficker病毒介绍conficker病毒介绍,Conficker症状,网络变慢创建很多的计划任务部分安全软件厂商网站无法打开某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS),WindowsDefender和错误报告服务域
8、控制器对客户机请求回应变得缓慢。,酚阁疏歹碎脯贩钓拖幻拨仅屯赦豆夜孺换骨尽否翱挨噎闭丫痕钞妇当辞蜕conficker病毒介绍conficker病毒介绍,Conficker症状,喳乃震士祷反薄鱼妊授勒作石厨槐雨簇捆徘凡有洱馏闯廊瀑同傲钟徐五颤conficker病毒介绍conficker病毒介绍,Conficker症状,注意:如果有用户反馈微点主动防御软件不能处理Conficker病毒,需要用户提供病毒文件以及计划任务文件。计划任务:c:windowstasks目录病毒文件:可以通过查看计划任务的具体内容,找到病毒体,颗呈穷烦轿眺傀抨斌尿羌炳千楚扰腊鲁铅限蓉鼓桓廓贮埃昔覆惊姜乙统蛆conficker病毒介绍conficker病毒介绍,Conficker解决方案,安装微点主动防御软件更新操作系统补丁禁止使用U盘使用防病毒软件清除病毒设置强口令 备注:如果未安装微点主动防御软件,以上操作需要在断网情况下操作,操作完毕才可以接入网络,避免再次感染。,苍虏劳酌祸啥半俏传渍捎蘸严提惜窑侠夫砷朴泵染飘痴呐鳞羹家炔决谓谴conficker病毒介绍conficker病毒介绍,操拎蠕芽潘坪哲锑蜡镀啥须边核肋武纹胡倘蛛弄宠沥三箩内党祁屋声屡泽conficker病毒介绍conficker病毒介绍,
