飛客蠕蟲病毒的介紹與處理辦法

0x1 飛客蠕蟲

國外常用叫法conficker,kido, downup，downadup

常用端口：445、139

中毒癥狀:請求解析隨機域名（DGA）、不能正常訪問安全廠商的網站或服務器、下載木馬。主要通過系統進程explorer.exe、services.exe、svchost.exe注入自己的病毒dll，一般為方便開機即運行該蠕蟲，有其對應的開機啟動服務項

利用漏洞：MS08-067漏洞

影響系統：受影響的系統包括Windows2000、Windows XP、WindowsServer 2003、Windows Vista、WindowsServer 2008

補丁號：KB958644

0x2中毒現象

無法訪問安全類的站點

防止更新，主要涉及以下關鍵字。可以考慮從可疑進程中查找這些關鍵字。

病毒母體文件dll釋放

%System%\[Random].dll%Program Files%\Internet Explorer\[Random].dll%Program Files%\Movie Maker\[Random].dll%All Users Application Data%\[Random].dll%Temp%\[Random].dll%System%\[Random].tmp%Temp%\[Random].tmp

線程注入

svchost.exeexplorer.exeservices.exe

暴力破解

使用NetServerEnum、NetUserEnum等API進行網絡共享（SMB）弱密碼破解，破解字典如下

adminadmin1admin12admin123adminadminadministratoranythingasddsaasdfgh

DGA算法

內置了一個DGA算法，會嘗試鏈接DGA類域名

0x3 檢測

基于飛客蠕蟲會阻塞安全類站點：

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

飛客蠕蟲會在短時間內訪問大量DGA類域名，多數是解析失敗的

在主機可上網的情況下，還可以通過檢查主機是否開啟了形如 ：

https://%ExternalIPAddress%:%RandomPort%類的服務，訪問形如 https://%PredictableDomainsIPAddress%/search?q=%d類的URL

0x4 查殺

專殺工具：http://media.kaspersky.com/utilities/VirusUtilities/EN/kidokiller.zip

0x5 加固

微軟官網下載MS08-067漏洞補丁包，并打上該補丁包

補丁包也可以參考下面這個鏈接：

http://blog.csdn.net/netcoder/article/details/3502873