conficker病毒介紹等級考試軟件應(yīng)用硬件維護PPT學習教案_第1頁
conficker病毒介紹等級考試軟件應(yīng)用硬件維護PPT學習教案_第2頁
conficker病毒介紹等級考試軟件應(yīng)用硬件維護PPT學習教案_第3頁
conficker病毒介紹等級考試軟件應(yīng)用硬件維護PPT學習教案_第4頁
conficker病毒介紹等級考試軟件應(yīng)用硬件維護PPT學習教案_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、會計學1conficker病毒介紹等級考試軟件應(yīng)用硬病毒介紹等級考試軟件應(yīng)用硬件維護件維護 Conficker簡介 Conficker傳播途徑 Conficker病毒分析 Conficker癥狀 Conficker解決方案目目 錄錄第1頁/共13頁Conficker 概述 Conficker,也被稱作Downup,Downadup或Kido,Conficker蠕蟲最早于2008年11月20日被發(fā)現(xiàn)的以微軟的windows操作系統(tǒng)為攻擊目標的計算機蠕蟲病毒。迄今已出現(xiàn)了四個版本,每個版本的變種也非常多,目前全球已有超過1500萬臺電腦受到感染,在國內(nèi)目前主要集中發(fā)生在局域網(wǎng)用戶上。Confick

2、er主要利用Windows操作系統(tǒng)MS08-067漏洞、共享傳播共享傳播,同時也借助任何有USB接口接口的硬件設(shè)備來感染。 這個蠕蟲利用的是一個已知的被用于Windows 2000,Windows xp,Windows vista,Windows server 2003和Windows server 2008操作系統(tǒng)的服務(wù)漏洞。Linux和Macintosh操作系統(tǒng)不會受到這個病毒的影響。第2頁/共13頁Conficker 主要影響事件一位法國士兵便是在家使用一位法國士兵便是在家使用U盤中了盤中了Conficker,隨后,隨后法國海軍內(nèi)網(wǎng)法國海軍內(nèi)網(wǎng)被大面積感染,軍方如臨大敵,不僅切斷所有被大

3、面積感染,軍方如臨大敵,不僅切斷所有Web與電郵系統(tǒng),部分戰(zhàn)機的起飛計劃也被突然叫停。隨后,與電郵系統(tǒng),部分戰(zhàn)機的起飛計劃也被突然叫停。隨后,英國、德國的軍事系統(tǒng)英國、德國的軍事系統(tǒng)也爆出大面積感染也爆出大面積感染Conficker蠕蟲的消息,其傳播能力與影響力可見一斑。蠕蟲的消息,其傳播能力與影響力可見一斑。英國議會英國議會IT系統(tǒng)系統(tǒng)被被Conficker感染,導致賬戶被鎖定以及整體網(wǎng)絡(luò)運行速度降低。感染,導致賬戶被鎖定以及整體網(wǎng)絡(luò)運行速度降低。大鬧大鬧牛津大學牛津大學微軟懸賞微軟懸賞25萬美元萬美元尋求該病毒制作者線索尋求該病毒制作者線索第3頁/共13頁 操作系統(tǒng)漏洞利用windows操

4、作系統(tǒng)已知的一個服務(wù)的緩沖區(qū)漏洞(MS08-067)網(wǎng)絡(luò)共享局域網(wǎng)內(nèi)查詢共享,暴力猜測密碼,進行共享傳播USB接口移動設(shè)備發(fā)現(xiàn)移動設(shè)備后寫入Autorun,借助移動設(shè)備進行傳播第4頁/共13頁 病毒行為分析: 1)復制自身到system32下,注冊為服務(wù)后再刪除病毒自身; 2)創(chuàng)建互斥體,避免在目標機器重復感染; 3)判斷年、月、日是否分別大于,如果有一項成立則到指定鏈接下載程序并運行; 4)刪除系統(tǒng)還原點,防止通過還原系統(tǒng)來清除該蠕蟲; 5)枚舉可移動磁盤,建立“Autorun.inf”和病毒副本,利用自動播放進行傳播; 6)枚舉局域網(wǎng)其他主機,從網(wǎng)段起始枚舉局域網(wǎng)其他主機,從網(wǎng)段起始IP開

5、始感染局域網(wǎng)其他主機,嘗開始感染局域網(wǎng)其他主機,嘗試建立空連接,根據(jù)返回嘗試溢出,溢出失敗則繼續(xù)嘗試下個試建立空連接,根據(jù)返回嘗試溢出,溢出失敗則繼續(xù)嘗試下個IP,如果成,如果成功則遠程執(zhí)行下載蠕蟲并運行功則遠程執(zhí)行下載蠕蟲并運行; 7)枚舉局域網(wǎng)其他主機,通過自身字典暴力破解共享密碼,破解成功枚舉局域網(wǎng)其他主機,通過自身字典暴力破解共享密碼,破解成功則將蠕蟲文件拷貝至共享目錄并且運行則將蠕蟲文件拷貝至共享目錄并且運行;第5頁/共13頁 它是如何實現(xiàn)病毒體更新的? Conficker蠕蟲病毒最新的版本改變了更新方式,他將嘗試從50000個域名中隨機挑選500個域名,10秒-50秒的時間間隔發(fā)送

6、請求,以試圖與惡意軟件制造者通信;另外,該病毒還采用了點對點(該病毒還采用了點對點(P2P)機制)機制,使它能夠從其他已經(jīng)感染Conficker計算機中分配和接收命令。這種新的更新機制將從2009年4月1日開始執(zhí)行。 P2P 的機制為 Conficker蠕蟲病毒開辟了新渠道,能夠更方便地從病毒制造者處接受和分配惡意代碼。這些代碼非常復雜,也逐漸開始不再依賴于域名來進行通信,可能是由于反病毒行業(yè)聯(lián)合打擊Conficker病毒,而使該惡意軟件制造者不得不作出改變。第6頁/共13頁每天嘗試從50000個域名中隨機連接500個每天嘗試從50000個域名中隨機連接500個每天嘗試從50000個域名中隨機連接500個P2PP2PP2P第7頁/共13頁 網(wǎng)絡(luò)變慢創(chuàng)建很多的計劃任務(wù)部分安全軟件廠商網(wǎng)站無法打開某些微軟Windows服務(wù)會自動禁用,如自動更新,后臺智能傳輸服務(wù)(BITS ), WindowsDefender和錯誤報告服務(wù)域控制器對客戶機請求回應(yīng)變得緩慢。第8頁/共13頁 第9頁/共13頁 注意: 如果有用戶反饋微點主動防御軟件不能處理Conficker病毒,需要用戶提供病毒文件以及計劃任務(wù)文件。計劃任務(wù):c:windowstasks目錄病毒文件:可以通過查看計劃任務(wù)的具體內(nèi)容,找到病毒體第10頁/共13頁 安裝

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論