conficker病毒介绍 等级考试 软件应用 硬件维护.pptVIP

Conficker病毒介绍 Conficker简介 Conficker传播途径 Conficker病毒分析 Conficker症状 Conficker解决方案 目 录 Conficker简介 Conficker 概述 Conficker，也被称作Downup，Downadup或Kido，Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。迄今已出现了四个版本，每个版本的变种也非常多，目前全球已有超过1500万台电脑受到感染，在国内目前主要集中发生在局域网用户上。Conficker主要利用Windows操作系统MS08-067漏洞、共享传播，同时也借助任何有USB接口的硬件设备来感染。 这个蠕虫利用的是一个已知的被用于Windows 2000，Windows xp，Windows vista，Windows server 2003和Windows server 2008操作系统的服务漏洞。Linux和Macintosh操作系统不会受到这个病毒的影响。 Conficker简介 Conficker 主要影响事件 一位法国士兵便是在家使用U盘中了Conficker，随后法国海军内网被大面积感染，军方如临大敌，不仅切断所有Web与电邮系统，部分战机的起飞计划也被突然叫停。随后，英国、德国的军事系统也爆出大面积感染Conficker蠕虫的消息，其传播能力与影响力可见一斑。 英国议会IT系统被Conficker感染，导致账户被锁定以及整体网络运行速度降低。 大闹牛津大学 微软悬赏25万美元寻求该病毒制作者线索 Conficker传播途径 操作系统漏洞 —利用windows操作系统已知的一个服务的缓冲区漏洞（MS08-067） 网络共享 —局域网内查询共享，暴力猜测密码，进行共享传播 USB接口移动设备 —发现移动设备后写入Autorun，借助移动设备进行传播 Conficker病毒分析 病毒行为分析： 1）复制自身到system32下，注册为服务后再删除病毒自身； 2）创建互斥体，避免在目标机器重复感染； 3）判断年、月、日是否分别大于2008.12.1，如果有一项成立则到指定链接下载程序并运行； 4）删除系统还原点，防止通过还原系统来清除该蠕虫； 5）枚举可移动磁盘，建立“Autorun.inf”和病毒副本，利用自动播放进行传播； 6）枚举局域网其他主机，从网段起始IP开始感染局域网其他主机，尝试建立空连接，根据返回尝试溢出，溢出失败则继续尝试下个IP，如果成功则远程执行下载蠕虫并运行； 7）枚举局域网其他主机，通过自身字典暴力破解共享密码，破解成功则将蠕虫文件拷贝至共享目录并且运行； Conficker病毒分析 它是如何实现病毒体更新的？ Conficker蠕虫病毒最新的版本改变了更新方式，他将尝试从50000个域名中随机挑选500个域名,10秒-50秒的时间间隔发送请求，以试图与恶意软件制造者通信；另外，该病毒还采用了点对点（P2P）机制，使它能够从其他已经感染Conficker计算机中分配和接收命令。这种新的更新机制将从2009年4月1日开始执行。 P2P 的机制为 Conficker蠕虫病毒开辟了新渠道，能够更方便地从病毒制造者处接受和分配恶意代码。这些代码非常复杂，也逐渐开始不再依赖于域名来进行通信，可能是由于反病毒行业联合打击Conficker病毒，而使该恶意软件制造者不得不作出改变。 Conficker病毒分析 病毒服务器 每天尝试从50000个域名中随机连接500个 每天尝试从50000个域名中随机连接500个 每天尝试从50000个域名中随机连接500个 P2P P2P P2P Conficker症状 网络变慢 创建很多的计划任务 部分安全软件厂商网站无法打开 某些微软Windows服务会自动禁用，如自动更新，后台智能传输服务（BITS ）， WindowsDefender和错误报告服务 域控制器对客户机请求回应变得缓慢。 Conficker症状 Conficker症状 注意： 如果有用户反馈微点主动防御软件不能处理Conficker病毒，需要用户提供病毒文件以及计划任务文件。 计划任务：c:\windows\tasks目录 病毒文件：可以通过查看计划任务的具体内容，找到病毒体 Conficker解决方案