搜尋結果
2018年1月19日 · 銀行木馬程式 DOWNAD (又名 CONFICKER,趨勢科技命名為 DOWNAD 家族) 首次現身於 2008 年 ,是當時破壞力最強的惡意程式之一,高達 9 百萬台電腦受到感染, 全球皆聞之喪膽 。 儘管 DOWNAD 現身至今已將近十年,而且已過了巔峰期,但它並未徹底消失。 讓我們回顧一下 DOWNAD 近十年來的一些數據,就能理解為何它至今仍是全球最普遍的惡意程式之一。 巔峰時期曾經創下全球 9 百萬的感染案例, 至今每月偵測數量仍維持在 2 萬以上. DOWNAD 在巔峰時期曾經創下 全球 9 百萬的感染案例 。 四年之後,DOWNAD 仍是 當年最紅的惡意程式 ,全球偵測數量仍有 250 萬左右 (2,564,618)。
2009年4月7日 · WORM_DOWNAD (亦稱為 Conficker) 是一個蠕蟲,最早發現於 2008 年 11 月。 它會利用 Microsoft 於 10 月份所修補的一個 Windows 漏洞 (MS08-067) 進行攻擊。 2009 年 2 月所偵測到的 WORM_DOWNAD.AD 變種,則增加了利用網路共用資料夾與 Windows 卸除式儲存裝置 (例如 USB 磁碟 ...
- Conficker.A 蠕蟲
- Conficker.B 蠕蟲
- 蠕蟲對電腦的影響
- 如何計算受感染的電腦數目
- 總結
- 參考資料
首次發現 Conficker 蠕蟲 (Conficker.A) 是在2008 年11 月下旬 [註: 3], 主要透過攻擊未有安裝微軟視窗 MS08-067 [註: 4] 漏洞修補程式的電腦來進行感染。這個漏洞會影響視窗系統 2000、XP、2003、Vista 和 2008。惡意程式分析員發現這個變種會判斷被感染的電腦是來自那個國家,如果是來自烏克蘭便不會繼續傳播。這個特性令人懷疑蠕蟲的作者正是位于烏克蘭。據防毒軟件公司資料,估計當時感染數目約為五十萬台電腦 [註: 5]。
在2008 年12 月尾發現了Conficker 蠕蟲的新變種 Conficker.B,除了攻擊微軟視窗漏洞外,還新增了以下的傳播途徑: 加入這兩種傳播方法後,對於公司網絡影響尤其加深。通常公司網絡對於外來連接都有一道防火牆把關,所以攻擊內部電腦的視窗系統 RPC 漏洞的方法都無法奏效。但當一部受感染的電腦或外置儲存裝置進入內部網絡,如果防毒軟件無法即時偵測這個新的變種,便可立即蔓延至整個網絡。
當電腦感染 Conficker.B 蠕蟲後會對系統造成以下影響[註: 6,7]: 1. 關閉檢視隱藏的檔案和資料夾; 2. 變更系統的 TCP/IP 連接上限參數; 3. 停止視窗系統的多個服務,包括: 1. 嘗試終止與保安相關的程序和禁止存取保安網站,目的可能是令電腦無法更新軟件資料庫和存取有關保安資料; 2. 重設系統還原點; 3. 從 2009 年1 月1 日開始,連接到一個隨機產生的網址下載檔案。目的可能是更新蠕蟲版本或接受一些命令指示; 4. 在一個隨機連接埠上執行 HTTP 伺服器程式,利用 ”回接 (call back)” 方式接收那些可以被成功攻擊 MS08-067 漏洞的電腦的回應,然後將蠕蟲檔案傳送給它; 5. 從遠端建立一個排定的工作來定時啟動電腦上的蠕蟲檔案; 6. ...
由於 Conficker 蠕蟲每日會隨機產生250 新的域名,並且會嘗試連接到這些域名所產生的網址。因此,芬蘭防毒軟件公司 F-secure 嘗試分析域名產生方程式,掌握到產生方法後就開始預先登記部份域名並建立一個黑洞系統來接收蠕蟲產生的網絡通訊,透過監視這些通訊來獲得來源的IP 地址,從而估計受感染的電腦數目。 現時大部份新聞媒體都採用由 F-secure 所提供的受感染的電腦統計數字。 截止 2009 年 1 月 16日,估計感染數字超過890 萬[註: 8,9],但是這種計算方法仍然有不足的地方,例如:計算了重覆感染的電腦。
現時製作這些惡意程式已趨向專業和注重利益,攻擊者會採用不同渠道感染電腦,而且被感染後的電腦可能與平常無異,令人難以偵測。這次Conficker 蠕蟲大規模的感染爆發都是由欠缺安裝修補程式、簡陋密碼設定和外置儲存裝置的管理等三方面問題所引起。其中安裝修補程式方面,根據 Qualys 公司的研究資料[註: 12]顯示約有三成電腦仍然未安裝MS08-067 的修補程式,而受蠕蟲感染比率最高的幾個國家,包括中國、俄羅斯和印度等國家正正是盜版軟件問題較嚴重的國家,由於盜版關系而無法自動更新系統上的漏洞。至於經外置儲存裝置而感染的 Autorun 類型病毒,是近年常見傳播方法,我們需要監管外置儲存裝置的使用和留意視窗系統的自動執行的設定。
conficker 蠕蟲 傳播主要通過運行windows系統的伺服器服務的緩衝區 漏洞 。 它使用特定的RPC請求在目標電腦上執行代碼。 當在一台電腦中成功執行,它會禁用一些 系統服務 ,比如windows系統更新,windows安全中心,windowsdefender和windows 錯誤報告 。 然後他會連線一個伺服器,在那裡他會接到進一步傳播的命令,收集個人信息,和下載安裝附加的惡意程式到受害人的計算機中。 它還會把自己添加到必然會有的windows活動進程中,像是svchost.exe,explorer.exe和services.exe。 有效負載. conficker變種將會創建一個Http伺服器並打開一個1024到10000之間的隨機連線埠。
Response. From Microsoft. From registries. Origin. Removal and detection. Third-party software. Automated remote detection. US CERT. See also. References. External links. Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008. [2] .
Conficker病毒 ,又名 Downup 、 Downandup 、 Downadup 和 Kido(刻毒蟲) ,是一種出現於2008年10月的計算機 蠕蟲病毒 ,針對微軟的 Windows 作業系統 。 [1] 這種病毒利用了 Windows 2000 、 Windows XP 、 Windows Vista 、 Windows Server 2003 、 Windows Server 2008 和 Windows 7 Beta等版本作業系統所使用的Server服務中的一個已知漏洞。 [2] [3] 名稱來歷 [ 編輯] 病毒名稱Conficker是一個德語讀音類似於英語詞"configure"(配置)。
2016年3月25日 · The Conficker worm is a tale of irony, one with an initial mood of doom and gloom that turned out to be unsubstantiated hype. Even so, the worm still managed to infect millions of computers. The complexity of its code and its adeptness at propagation intrigued security experts. What Does the Conficker Worm Do?
