搜索 收起
您的位置  > 互联网

飞客研究飞客蠕虫感染率最高的蠕虫,没有之一

chanong 发布于 2024-05-10 05:03:31 阅读()

在网上查找飞客蠕虫的各个版本,主要是C、D、E这三个版本,因为这些后期版本的功能更加强大,通信行为也更加复杂。 这种准备是最困难的,因为找到合适的样品并不容易。 这里推荐一个网站:该网站是国外比较专业的木马病毒样本网站,但要求用户注册条件比较严格。 在虚拟机上安装科莱2010旗舰版,准备抓包。 准备完成后,在本地计算机上运行下载的示例。 然后抓包,设置过滤器,保证抓到的数据比较纯净,不要用XP系统做任何网络操作,然后长时间抓包。 连续抓包几个小时后停止抓包,进行数据分析。 首先,感染飞客蠕虫病毒的主机会禁止系统访问各反病毒厂商的网站及相关安全信息。 那么根据这个属性我们就可以检查自己是否被蠕虫病毒感染了。 点击链接:/.html 我们看到如下图: 科莱软件 电话: / 9 传真:010-Email:sales@2 / 9 如图所示,这是机器被飞科蠕虫感染后的表现,在线上方排名 这些是来自各个安全制造商的图片链接。 科莱软件 电话: /9 传真:010-Email:sales@3/9 分析抓包数据,了解其行为:首先,该蠕虫成功运行后,会向指定域名发送请求。 蠕虫尝试从 50,000 个域名中随机选择 500 个域名来尝试与恶意软件创建者进行通信,因此会生成大量奇怪的域名,如图:这些域名的搜索结果和百度都是零,也就是说都是极其稀有的域名。 。

成功解析这些域名后,肉鸡开始向这些解析地址发起HTTP请求,下载最新的蠕虫更新程序,避免被杀毒软件清除。 然后就会下载各种病毒,如键盘记录软件、远程控制软件电话: /9传真:010-邮箱:sales@4/9、密码收集软件等,使PC感染各种病毒、木马占据。 此外,此次使用的D样本还采用了点对点(P2P)机制,使其能够分发和接收来自其他受感染的.D计算机的命令。 因此,我们可以在互联网上看到大量向感染蠕虫病毒的PC发起的连接,如矩阵视图所示: 科莱软件电话: / 9 传真:010-邮箱:sales@5 / 9 这样,我们可以看到飞客蠕虫的强大能力,可以从5万个不同的域名中随机选择500个域名进行分析,获取与黑客控制器的连接,并下载其他节点信息。 然后与其他已被飞客蠕虫感染的节点进行P2P连接,获取版本信息和黑客指令。 这不仅隐藏了控制器的IP,还使得飞客蠕虫建立的僵尸网络更加健壮(P2P连接方式不会因为失去一个控制器而导致整个僵尸网络崩溃)。 蠕虫具有极强的传染性。 如果内网中的一台PC通过访问含有病毒的网站或含有木马的电子邮件而感染蠕虫,那么局域网内其他易受攻击的主机被感染的概率基本上是100%。

飞客蠕虫主要通过网络共享的方式入侵并感染内网其他PC。 而且,飞客蠕虫还可以通过其他硬件载体进行传播,比如U盘、移动硬盘等。网络共享是一种比较便捷的通过网络共享文件的方式,但是在给用户带来便利的同时,也带来了一些问题。存在很大的隐患。 局域网中的两种主要攻击方式是arp感染和网络共享破解。 飞客蠕虫是利用网络共享最常被破解的蠕虫之一。 我们可以从其他攻击数据中验证这一点。 首先,我们会发现网络中存在大量的CIFS和协议,并且这些协议的流量不是很大,但是TCP会话的数量却很大。 科莱软件电话: / 9 传真:010-Email:sales@6 / 9 此类会话具有明显的暴力破解行为,可以通过“数据流”选项仔细对比。 我们随机选择两个具有 12 个数据包的 CIFS。 对比协议的数据流,我们发现只有密码部分的内容发生了变化,如图: 根据其他安全信息,我们可以找出尝试密码的列表。 通过列表我们可以发现,这些密码均来自科莱软件电话: /9传真:010-邮箱:sales@7/9是比较常见的密码,所以也可以看出设置比较复杂和随机的重要性密码。

如果局域网中的一台存在漏洞的PC感染了飞客蠕虫,并在传播过程中遇到其他弱口令或根本没有口令的PC,那么它们被入侵只是时间问题。 飞科蠕虫病毒的危害:导致个人机密信息被盗,如密码、银行帐号、个人或公司机密文件等。它感染局域网内的其他主机,其强大的传播性使其他较弱的PC也受到感染,造成大规模感染。 大规模感染会消耗防火墙等设备的大量并发网络连接,影响其他PC的正常业务访问(并发连接数是固定的,如果有几十台PC感染飞客蠕虫,所产生的并发连接数)连接数可能会被消耗掉,防火墙内的大部分连接都会被丢弃,导致正常用户也会受到影响,从而导致带宽充足但访问速度变慢的情况。) 防护:科莱软件电话: / 9传真:010-电子邮件:销售。 @8/9规范用户的上网行为,禁止打开和访问陌生的电子邮件和危险网站。 个人电脑必须及时更新微软更新和补丁。 俗话说“苍蝇不咬,鸡蛋也不咬”。 飞客蠕虫是针对微软的一个漏洞。 如果漏洞得到修补,感染飞客蠕虫的概率将会很低。 当个人用户网络速度较慢,或者发现网络连接过多,或者发现自己的杀毒软件无法正常工作时,可以使用测试页来测试以下是否被感染飞客蠕虫:/.html 一旦感染,则判定为飞客蠕虫感染 最后断网隔离,下载专用查杀工具进行查杀。 参考文档:///wiki/(飞科蠕虫工作组)国家计算机应急指挥中心年度报告/科莱软件电话: /9传真:010-邮箱:sales@9/9

标签:
打赏 点赞( )

相关文章