机器学习引擎在公司内网环境发现蠕虫

最新推荐文章于 2022-10-29 08:49:37 发布
原创 最新推荐文章于 2022-10-29 08:49:37 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在公司内网环境中部署基于流特征的蠕虫检测算法后,发现一台机器疑似感染W32.Downadup蠕虫病毒,表现为大量扫描445端口的行为。通过使用专杀工具确认并清除蠕虫病毒。

自从将基于流特征的蠕虫检测算法部署到公司内网环境后,就发现,一直在报一台机器有蠕虫病毒。


然后随意抽查一条,这台机器居然在1个小时内扫描了7万多台机器的445端口。


发现这台机器是一位测试同学的机器,而她并未进行扫描随机IP 445端口的测试。

然后总结了一下特征:

svchost.exe进程,大量的发送syn_sent 445端口的请求

和W32.Downadup蠕虫病毒的特征十分相似。

参考链接:http://www.blogjava.net/amplifier/archive/2010/06/30/324861.html

下载了专杀工具,果然该台机器中了蠕虫病毒:


[系统安全] 六十二.恶意软件分析 (13)LLM赋能实现基于机器学习的恶意家族分类(初探)
杨秀璋的专栏
02-02 1407
前文探索了利用大模型辅助恶意代码分析,即LLM赋能Lark工具提取XLM代码的抽象语法树。这篇文章将继续尝试探索利用大模型辅助恶意代码分析,尝试进行恶意代码家族分类实验。在恶意代码分析过程中,大家会遇到各种各样的问题,如何结合LLM和GPT完成复杂任务,更好地为安全工程师合作至关重要。基础性探索文章,还请各位大佬多多指教,写得不足的地方还请海涵。希望您喜欢,且看且珍惜。
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
基于相似度分析的蠕虫检测算法 (2011年)
05-30
近年来,蠕虫逐渐成为一种主要的网络威胁。文中针对现有蠕虫检测算法误检率高的问题,提出了一种基于相似度分析的蠕虫检测算法。该算法通过分析异常数据序列与蠕虫行为特征之间的相似性,实现对基本累计异常行为特征检测算法的优化;同时,考虑到复杂的网络环境,利用卡尔曼滤波器的预测功能实现对检测阈值的动态调整。仿真结果表明,与基本累计异常行为特征检测算法相比,文中算法能够有效地降低误检率,提高检测的精度。
w32.downadup.b蠕虫病毒详解及清除攻略(转)
snlying的专栏
01-26 1万+
w32.downadup.b蠕虫病毒详解及清除攻略
W32.Downadup Removal Tool
梦想的天空
05-14 2218
病毒描述:1. U盘根目录下生成了一个antorun.inf,还有一个文件夹RECYCLER,病毒被放在I:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx2. autorun.inf和RECYCLER都可以手动删除,但重新拔插U盘,发现又有了 autorun.inf 和 RECYCLER 文件夹解决办法:
W32.Downadup.B病毒
weixin_33736649的博客
11-08 335
症状:用户的电脑这两天Symantec老是报错,提示W32.Downadup.B病毒 原因:感染病毒 解决方法:在诺顿官网上弄了个专杀 http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99 更新:10/10 2009 海外分公司也报有...
APT实践分享:基于机器学习的隐蔽信道检测从0-_1.pdf
08-08
企业内网环境中,DNS协议是必不可少的网络通信协议之一,网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。这类手段常用于APT中...
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 7022
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
Graboid蠕虫挖矿传播事件
maoguan121的博客
10-29 388
网络安全发展的方向有两种趋势,一是与新场景、新应用结合,典型的如云计算、人工智能、物联 网等;二是安全技术自身的演化,例如欺骗技术、威胁狩猎、智能决策等,而这两类趋势往往可能会融 合,如人工智能与安全技术之间,既利用 AI技术赋能安全运营形成 AISecOps,又加速了智能化安全运 营和智能化攻击技术的对抗。当云计算发展将近二十年后,已然进入了新的阶段:云原生时代。以容器、编排和微服务为代表的 云原生技术,正在影响各行各业的 IT基础设施、平台和应用系统,也在渗透到如 IT/OT融合的工业互联网。
W32.Downadup.B专杀
12-12
公司的电脑上曾中这个病毒,后经这个摆平,上传与大家共享。
基于行为异常的蠕虫病毒检测方法
01-22
基于行为异常的Symbian蠕虫病毒检测方法;很好的文章!
机器学习做的杀毒(纯炫耀)
异次元小强
04-25 1093
发个对未知病毒的查杀图,无耻的把引擎叫做7vm了,哈哈。
Svchost.exe病毒的简单处理
热门推荐
xiacsd的专栏
10-20 2万+
Svchost.exe占用内存过大解决   1.当发现Svchost.exe不在%systemroot%\System32目录中的,可以安全删除,同时在注册表中查找对应的注册项删除掉。 或用tasklist/svc命令查看svchost.exe 右边的服务是不是“暂缺”,是的话为中毒了。   2.Svchost.exe在%systemroot%\System32目录,说明Svch
局域网雨云蠕虫病毒的处理
weixin_33811961的博客
06-11 1279
最近跳槽换了家单位,300多台pc,2台文件共享服务器Server。PC的操作系统大部分是win7,少量是xp,Server的操作系统均为win2008 server R2,在Server上共享用户为everyone,共享和安全权限为完全控制。网络设备张核心为华为S5348,但是未做任何配置,其他交换机使用的D-LINK 1024D或者1024T,清一色傻瓜式交...
Window应急响应(二):蠕虫病毒
08-05 1293
0x00 前言 ​ 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序。 常见的蠕虫病毒:熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。 0x01 应急场景 ​ 某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连通外网,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值