Conficker蠕虫的分析与防范.docx

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

??

?

??

Conficker蠕虫的分析与防范

?

?

?

?

?

??

?

?

?

王宜阳,刘家豪

(国家计算机网络应急技术处理协调中心广东分中心,广东广州510000)

摘要:Conficker(飞客)蠕虫自从现身于互联网后,迅速在全球蔓延,数以百万计的主机lP受到感染。本文主要调研了安全界对Conficker蠕虫的分析报告,结合CNCERT/CC监测数据以及日常实际处置经验,对Conficker蠕虫现状作了简要介绍,并给出一种简捷且有效的检测方法与安全加固建议,让广大网民提高安防意识,做好安全加固,以免成为黑客的“帮凶”。

关键词:Conficker蠕虫;变种;检测;安全加固

TP393.08:A

0引言

自从2008年10月Conficker蠕虫被首次发现以来,该病毒就在安全业界引起了轩然大波,黑客通过该蠕虫在极短时间内控‘制了百万互联网终端用户资源,甚至一度风传在2009年4月1号会出现全球性的网络攻击,引起全球恐慌,让人不禁回想起了当年的“千年虫”。

根据国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)的监测统计显示,至2009年4月30日,短短几个月时间,全球就已经有超过784万个主机lP感染,其中,中国排名第一,占全球感染主机数的20.82%。2009年下半年,我国Conficker[来自wwW.lw5u.coM]蠕虫感染主机数量占全球比例有小幅下降,但绝对数量仍高居不下,月均监测到我国有1800余万个主机lP被感染。感染蠕虫lP的主机数量按国家分布,前三名分别是中国、美国和巴西,国内按省份分布,前三名分别是广东、河北和浙江。1Conficker蠕虫概述与原理

Conficker[来自www.LW5u.coM],也被称作Downup,Downadup或Kido,中文翻译“飞客”,Conficker蠕虫最早于2008年11月20日被发现,它以微软的wlndows操作系统为攻击目标。迄今已出现了A、B、B++、C、E五个版本,目前全球已有超过1500万台电脑受到感染。

病毒原理:Conficker蠕虫主要是借助闪存、利用微软的MS08-067漏洞进行传播的。当Conficker病毒进入系统后,首先破坏系统中的默认属性设置,接着会自动搜索局域网内有漏洞的其他电脑,一旦发现有存在漏洞的计算机系统,就会激活该漏洞并同感染系统创建连接,最后进行远程感染。2Conficker蠕虫的版本演变

以下的时间轴显示关于Conficker蠕虫病毒发展的大事件:

2008年11月21日--Worm:Win32/Conficker.A被发现,主要特征包括:利用MS08-067漏洞;对DNS挂接,防止感染机器连接到安全站点;每天连接到伪随机产生的250个域名试图与蠕虫制造者通信;采用1024位RSA数字证书的MD5。

2008年12月29日--Worm:Win32/Conficker.B被发现(距离Conficker.A发现时间仅为38天,它与Conficker.A的差别在于:通过TCP/445的网络传播病毒感染;可移动磁盘传播(U盘);每天连接到伪随机生成另外250个域名;MD6散列与4096bitRSA的数字认证。

2009年2月20日-Worm:Win32/Confir,ker.B++被发现(距离Conficker.B的发现时间为53天)。Confirker.C变种与Conficker.B的不同之处在于:利用MS08-067漏洞的点对点通信。

2009年3月4日-Worm:Win32/Conficker.C被发现(距离Conficker.B发现日期为65天),其特征包括:从2009年4月l日起每天从随机产生的50000个中随机选取500个主机名连接;与其他感染Conficker.C的机器进行点对点通信。

2009年4月8日-Worm:Win32/Conficker.E被发现,显著特征为:在一个1024-9999之间的伪随机端口打开一个Web侦听器,随机数基于系统盘的分区序列号;在一台已感染的机器上,Conficker.E变种会和已有的Conficker.C同步执行。

3Conficker蠕虫的危害

3.1针对计算机终端用户安全的危害

账户锁定政策被自动复位,某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS),WindowsDefender和错误报告服务;删除系统还原点;自动下载恶意程序文件;系统网络变得异常缓慢;域控制器对客户机请求回应变得缓慢;阻止用户访问与安全相关的网站,并且能够终止操作系统自身以及第三方安全软件的服务;发起暴力密码破解攻击管理员密码,以帮助它穿越并扩散到管理员共享。3.2针对整个互联网安全的危害

Conficker蠕虫各

文档评论(0)

135****1100 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档