本文详细分析了一台计算机遭受内网病毒攻击的情况,病毒通过下载疑似图片文件触发NOD32病毒警告。确认病毒为Conficker蠕虫,该病毒利用RPC漏洞进行传播并执行恶意操作。防范措施包括更新补丁、开启防火墙,以防止类似病毒的入侵。
系统出现问题,症状有:
偶尔很卡,CPU并没有很高的进程;
死机,屏幕锁定,键盘失灵,仅鼠标能移动,但是不能任何操作;
只能强行重新启动;
NOD32会报以下病毒警告:
C:/WINDOWS/system32/x
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/CPZ6J20Y/xxxxxx[1].jpg
xxxxx 代表文件名
蠕虫病毒
分析:
选择清除后,下次又会再来。
GHOST恢复系统后,还会出现。
网上发现很多这样的情况,但是都没有具体的办法。
清理C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/ 文件时发现index.dat 文件不能删除,这是个索引文件。
有记录证明在下载内网的一个疑似图片的文件。
PING这个机器
说明这个机器存在,也测试了http://192.168.0.179:2932/pfrv 的确能下载,且下载后NOD32报读,那么到这基本可以确定就是因为去下载了这个文件,所以NOD32才警告。
但是我并没有去下载这个机器的文件。2个可能
1.我的机器有什么软件激活了这个过程,让它去取内网的病毒;但是她如何知道这个机器的IP和端口的呢?
2.内网机器能够远程执行我机器上的命令,想到这里,我们就想到了conficker
conficker介绍:
Conficker,也被称作Downup,Downadup或Kido,他是一个2008年10月发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。这个蠕虫利用的是一个已知的被用于windows2000,windowsxp,windowsvista,windowsserver2003和windowsserver 2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。“conficker”这个名字是一个德语的双关语,意思是“操作计算机设置的程序”发音就像是英语中“configure”。“configuration”通常被简称为“config”。conficker的命名来源于configuration的前五个字母,同时添加了以ficker为结尾,ficker是一个粗俗的词,是德语fichen的名词形式,在德语中的意思就是英语中的“fuck”。
conficker原理:
conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。
当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。
防范和解决建议:
在两千零八年十月十五日微软释放了一个补丁(MS08-067)用于修复这个漏洞。清除工具可以从微软,赛门铁克,卡巴斯基获得,同时麦咖啡可以清楚他通过特殊扫描。病毒可以通过USB自动播放传播,通过注册表关闭USB的自动播放功能是推荐的选择。微软释放了windowsXPsp2和sp3、windows2000sp4、vista的补丁,没有释放windowsXPsp1和更早版本系统的补丁,这些系统的服务包支持已经过期。
详细介绍:http://www.hudong.com/wiki/conficker
那么这个问题很可能是这样:
内网机器中了病毒,并扫描任意机器,寻找漏洞机器;寻找到后执行下载病毒代码;
如果你的机器补丁没有打、防火墙没有做好屏蔽策略,就极可能被感染。
所以,需要马上更新最新补丁,开启防火墙。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
