飞客蠕虫病毒的介绍与处理办法

0x1 飞客蠕虫

国外常用叫法conficker,kido, downup，downadup

常用端口：445、139

中毒症状:请求解析随机域名（DGA）、不能正常访问安全厂商的网站或服务器、下载木马。主要通过系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll，一般为方便开机即运行该蠕虫，有其对应的开机启动服务项

利用漏洞：MS08-067漏洞

影响系统：受影响的系统包括Windows2000、Windows XP、WindowsServer 2003、Windows Vista、WindowsServer 2008

补丁号：KB958644

0x2中毒现象

无法访问安全类的站点

防止更新，主要涉及以下关键字。可以考虑从可疑进程中查找这些关键字。

病毒母体文件dll释放

%System%\[Random].dll%Program Files%\Internet Explorer\[Random].dll%Program Files%\Movie Maker\[Random].dll%All Users Application Data%\[Random].dll%Temp%\[Random].dll%System%\[Random].tmp%Temp%\[Random].tmp

线程注入

svchost.exeexplorer.exeservices.exe

暴力破解

使用NetServerEnum、NetUserEnum等API进行网络共享（SMB）弱密码破解，破解字典如下

adminadmin1admin12admin123adminadminadministratoranythingasddsaasdfgh

DGA算法

内置了一个DGA算法，会尝试链接DGA类域名

0x3 检测

基于飞客蠕虫会阻塞安全类站点：

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

飞客蠕虫会在短时间内访问大量DGA类域名，多数是解析失败的

在主机可上网的情况下，还可以通过检查主机是否开启了形如 ：

https://%ExternalIPAddress%:%RandomPort%类的服务，访问形如 https://%PredictableDomainsIPAddress%/search?q=%d类的URL

0x4 查杀

专杀工具：http://media.kaspersky.com/utilities/VirusUtilities/EN/kidokiller.zip

0x5 加固

微软官网下载MS08-067漏洞补丁包，并打上该补丁包

补丁包也可以参考下面这个链接：

http://blog.csdn.net/netcoder/article/details/3502873