趋势科技病毒概述分析.ppt

* * * * * * * * 至截稿时，已经发现32只WORM_DOWNAD家族的变种。 至2009年4月1日，WORM_DOWNAD.A、WORM_DOWNAD.AD、WORM_DOWNAD.KK三只变种是最受关注的。每只后来出现的变种与前一只变种都具有相同的行为，但每只后来出现的变种都得到了改进，以使自身更加难以检测和清除。 这个幻灯片总结了DOWNAD/Conficker的特性。 这只蠕虫利用了一个已知的微软操作系统的名为“Server”服务的漏洞(MS08-067)，该漏洞可以允许执行远程代码。关于这个漏洞的更多细节，可以参考如下链接： /technet/security/Bulletin/MS08-067.mspx 该蠕虫会使用弱口令攻击域内的其他系统，一旦攻击成功，该蠕虫会在admin$\System32目录下释放一个自身拷贝，同时在系统中创建计划任务，用于激活自身拷贝。 该蠕虫会在移动硬盘和网络硬盘上释放自身拷贝和AUTORUN.INF，这两个文件可以借助系统的自动播放功能激活运行。 受影响的系统包括：Windows 2000, XP, Server 2003, Vista 32-bit, Vista 64-bit。 病毒百科链接： WORM_DOWNAD.A: /vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAVSect=T WORM_DOWNAD.AD: /vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EADVSect=T WORM_DOWNAD.KK: /vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EKKVSect=T WORM_DOWNAD.E: /vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EEVSect=T ? * 这页幻灯片显示受DOWNAD感染的系统会对网络产生很大的负面影响。这个图用于展现一个网络的流量大小。图中的数据来自从网络中抓取的数据包中的IP地址（包括源地址和目的地址）。图中的四条垂线分别表示IP地址的4个段（1个IP地址分为4个段，例如），根据IP地址4个段的数字，在垂线上找到对应的点，然后用直线从左到右分别连接四条垂线上的4个点，连成的4条直线就表示1个IP地址。图中连接的直线越多，表示在网络中传输数据包的IP地址越多，也就表示网络中流量越大。 * 被DOWNAD变种禁用的系统服务包括: Background Intelligent Transfer Service (BITS)Windows Error Reporting ServiceWindows Security Center ServiceWindows Automatic Update Service * Intrusion Defense Firewall（IDF，入侵检测防火墙）是一个OfficeScan的插件，安装了该插件即可使用IDF。 对于没有使用IDF的用户，需要执行本页幻灯片中的步骤实现保护。 管理员可以使用Vulnerability Assessment Pattern 94扫描网络中存在MS08-067漏洞的机器。 ? * * 可以应用口令策略来阻止来自网络的弱口令攻击： -定期刷新组策略，请参考如下网页： /kb/203607/EN-US/ -?立即刷新组策略，请参考如下网页： /kb/227302? * * Confidential | Copyright 2012 Trend Micro Inc. * 手动病毒处理步骤（三） 修复被病毒修改的host文件 %SystemRoot%\System32\drivers\etc\host 默认仅包含一条host记录 localhost 清空临时文件夹 %SystemRoot%\Temp C:\Temp Internet临时文件 C:\Documents and Settings\用户名\Local Settings\Temp 清理注册表等启动项信息 常用工具介绍 Process Explorer IceSword SIC TCPView 分析网络连接 Regmon,InstallRite 监视注册表 Filemon,InstallRite 监视文件系统 趋势科技ATTK 中小企业软件包 概述 病毒类型概述 病毒行为分析 趋势的病毒应对方式 病毒的处理建议 病毒案例分享 Wrom_Down