日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

Worm.Win32.MS08-067.d病毒分析報(bào)告

云知道

這是一個(gè)利用微軟漏洞進(jìn)行傳播的蠕蟲(chóng)病毒 。它利用微軟操作系統(tǒng)的MS08-067漏洞 , 將自己植入未打補(bǔ)丁的電腦 , 并以局域網(wǎng)、U盤(pán)等多種方式傳播 。病毒運(yùn)行后會(huì)進(jìn)行以下操作: 1、首先病毒會(huì)判斷系統(tǒng)版本是否是 Win2000或 WinXP 以上系統(tǒng) , 如果是病毒才繼續(xù)執(zhí)行; 2、給病毒所在進(jìn)程添加 SeDebugPrivilege 權(quán)限 , 對(duì)本機(jī)計(jì)算機(jī)名稱進(jìn)行 CRC32 計(jì)算 , 通過(guò)得到的 CRC32 值創(chuàng)建病毒互斥量 , 判斷自己是否是 rundll32.exe 程序啟動(dòng)的; 3、判斷是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 進(jìn)程 , 將自己代碼放到那兩個(gè)中的一個(gè)里面去 , 然后修改注冊(cè)表不顯示隱藏文件; 4、針對(duì)services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"進(jìn)程進(jìn)行DNS查詢以及TCP傳輸過(guò)程攔截; 5、針對(duì)殺毒軟件關(guān)鍵字進(jìn)行過(guò)濾 , 其中包含 rising、avast、nod32、mcafee 等等 。使當(dāng)前中毒計(jì)算機(jī)無(wú)法訪問(wèn)安全廠商的網(wǎng)站; 6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服務(wù) , 并且改為手動(dòng); 7、枚舉網(wǎng)絡(luò)計(jì)算機(jī)的用戶名和自帶的密碼表 , 利用 IPC$; ADMIN$ 共享復(fù)制病毒到遠(yuǎn)程計(jì)算機(jī)然后通過(guò)Rundll32遠(yuǎn)程啟動(dòng) , 創(chuàng)建自身到 RECYCLER、System32文件夾下面 , 嘗試訪問(wèn) http://www.getmyip.org等網(wǎng)站得到中毒計(jì)算機(jī)的IP 。通過(guò)訪問(wèn)http://www.google.com、http://www.baidu.com等等網(wǎng)站得到當(dāng)前月數(shù) 。再通過(guò)時(shí)間經(jīng)過(guò)內(nèi)置算法計(jì)算病毒的升級(jí)鏈接 , 方便病毒作者不更新 。解決方法: 1、及時(shí)更新微軟系統(tǒng)補(bǔ)?。ㄗ钚挛④浡┒囱a(bǔ)丁參見(jiàn)“瑞星微軟安全公告); 2、發(fā)現(xiàn)上述關(guān)鍵系統(tǒng)服務(wù)被非人為修改為手動(dòng)時(shí) , 及時(shí)修改成原系統(tǒng)狀態(tài) , 配合殺毒軟件查毒(瑞星全功能安全軟件2009 30天免費(fèi)試用:http://rsdownload.rising.com.cn/for_down/rsfree/RavD97.exe); 3、局域網(wǎng)中計(jì)算機(jī)統(tǒng)一規(guī)定不能使用弱密碼或者空密碼(更多安全知識(shí)參見(jiàn)“瑞星安全頻道); 4、及時(shí)升級(jí)本機(jī)殺毒軟件 。
;

    推薦閱讀