自从将基于流特征的蠕虫检测算法部署到公司内网环境后,就发现,一直在报一台机器有蠕虫病毒。
然后随意抽查一条,这台机器居然在1个小时内扫描了7万多台机器的445端口。
发现这台机器是一位测试同学的机器,而她并未进行扫描随机IP 445端口的测试。
然后总结了一下特征:
svchost.exe进程,大量的发送syn_sent 445端口的请求
和W32.Downadup蠕虫病毒的特征十分相似。
参考链接:http://www.blogjava.net/amplifier/archive/2010/06/30/324861.html
下载了专杀工具,果然该台机器中了蠕虫病毒:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
