conficker病毒介绍等级考试软件应用硬件维护.ppt

Conficker病毒介绍 Conficker简介Conficker传播途径Conficker病毒分析Conficker症状Conficker解决方案 目录 Conficker简介 Conficker概述Conficker 也被称作Downup Downadup或Kido Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒 迄今已出现了四个版本 每个版本的变种也非常多 目前全球已有超过1500万台电脑受到感染 在国内目前主要集中发生在局域网用户上 Conficker主要利用Windows操作系统MS08 067漏洞 共享传播 同时也借助任何有USB接口的硬件设备来感染 这个蠕虫利用的是一个已知的被用于Windows2000 Windowsxp Windowsvista Windowsserver2003和Windowsserver2008操作系统的服务漏洞 Linux和Macintosh操作系统不会受到这个病毒的影响 Conficker简介 Conficker主要影响事件一位法国士兵便是在家使用U盘中了Conficker 随后法国海军内网被大面积感染 军方如临大敌 不仅切断所有Web与电邮系统 部分战机的起飞计划也被突然叫停 随后 英国 德国的军事系统也爆出大面积感染Conficker蠕虫的消息 其传播能力与影响力可见一斑 英国议会IT系统被Conficker感染 导致账户被锁定以及整体网络运行速度降低 大闹牛津大学微软悬赏25万美元寻求该病毒制作者线索 Conficker传播途径 操作系统漏洞 利用windows操作系统已知的一个服务的缓冲区漏洞 MS08 067 网络共享 局域网内查询共享 暴力猜测密码 进行共享传播USB接口移动设备 发现移动设备后写入Autorun 借助移动设备进行传播 Conficker病毒分析 病毒行为分析 1 复制自身到system32下 注册为服务后再删除病毒自身 2 创建互斥体 避免在目标机器重复感染 3 判断年 月 日是否分别大于2008 12 1 如果有一项成立则到指定链接下载程序并运行 4 删除系统还原点 防止通过还原系统来清除该蠕虫 5 枚举可移动磁盘 建立 Autorun inf 和病毒副本 利用自动播放进行传播 6 枚举局域网其他主机 从网段起始IP开始感染局域网其他主机 尝试建立空连接 根据返回尝试溢出 溢出失败则继续尝试下个IP 如果成功则远程执行下载蠕虫并运行 7 枚举局域网其他主机 通过自身字典暴力破解共享密码 破解成功则将蠕虫文件拷贝至共享目录并且运行 Conficker病毒分析 它是如何实现病毒体更新的 Conficker蠕虫病毒最新的版本改变了更新方式 他将尝试从50000个域名中随机挑选500个域名 10秒 50秒的时间间隔发送请求 以试图与恶意软件制造者通信 另外 该病毒还采用了点对点 P2P 机制 使它能够从其他已经感染Conficker计算机中分配和接收命令 这种新的更新机制将从2009年4月1日开始执行 P2P的机制为Conficker蠕虫病毒开辟了新渠道 能够更方便地从病毒制造者处接受和分配恶意代码 这些代码非常复杂 也逐渐开始不再依赖于域名来进行通信 可能是由于反病毒行业联合打击Conficker病毒 而使该恶意软件制造者不得不作出改变 Conficker病毒分析 病毒服务器 每天尝试从50000个域名中随机连接500个 每天尝试从50000个域名中随机连接500个 每天尝试从50000个域名中随机连接500个 P2P P2P P2P Conficker症状 网络变慢创建很多的计划任务部分安全软件厂商网站无法打开某些微软Windows服务会自动禁用 如自动更新 后台智能传输服务 BITS WindowsDefender和错误报告服务域控制器对客户机请求回应变得缓慢 Conficker症状 Conficker症状 注意 如果有用户反馈微点主动防御软件不能处理Conficker病毒 需要用户提供病毒文件以及计划任务文件 计划任务 c windows tasks目录病毒文件 可以通过查看计划任务的具体内容 找到病毒体 Conficker解决方案 安装微点主动防御软件更新操作系