第21章飛客蠕蟲研究21.1案例背景 21.2分析過程 21.3參考文檔

飛客蠕蟲是近兩年感染率最高的蠕蟲。我們在實際工作中發現很多起感染飛客蠕蟲的事件。

飛客蠕蟲是英文conficker的中文發音。該蠕蟲最早發現于2008年12月，利用微軟的MS08-067漏洞發起攻擊。該蠕蟲病毒自發現后，在1年的時間內出現了5個主要變種，功能和隱蔽性比原始程序有很大提升。21.1案例背景飛客蠕蟲感染最多的就是中國大陸地區，網上看到一則2010年10月份的新聞，平均每個月內有1800萬PC感染了飛客蠕蟲(見圖21-1)。最高時，根據國家計算機應急指揮中心公布的數據，全國有近10%的PC感染了該蠕蟲。由此我們也可以看出國內的PC安全意識很淡薄，其實只要簡單地更新下系統，打上相關補丁，就不會感染該蠕蟲。

圖21-1

研究任何病毒木馬，最好的方式的就是主動感染該病毒木馬，然后跟蹤其行為。本文也是以這種思路來進行對飛客蠕蟲的研究。研究之前的工作如下：

(1)準備一臺沒有打上MS08-067補丁的XP系統的主機，在此我們使用較早的SP2版本，然后安裝到一臺虛擬機上。

21.2分析過程

(2)從互聯網上尋找飛客蠕蟲的各種版本，主要以C、D、E這三個版本為主，因為后來版本功能較強大，通信行為也很復雜。這項準備工作最為困難，因為找到合適的樣本是比較不容易的，在此我們推薦一個網站：。該網站是國外比較專業的木馬病毒樣本網站，不過需要較嚴格的用戶注冊條件。

(3)在虛擬機上安裝科來2010旗艦版，準備做好抓包工作。

(4)準備完畢后，將下載的樣本在本機上運行，然后進行抓包。設置好過濾器保證抓到的數據是比較純凈的，不要使用該XP系統作任何網絡操作，在連續抓包幾個小時后停止，進行數據分析。

感染飛客蠕蟲后的主機會禁止系統訪問各種殺毒廠商的網站和相關安全信息內容，所以，根據這個屬性我們可以檢查一下是否已經中了飛客蠕蟲。點擊鏈接“/cfeyechart.html”，我們看到圖21-2所示信息。

圖21-2與圖21-3所示相比較，排名上面一行的是各安全廠商的圖片鏈接，表明本機已中了飛客蠕蟲。

圖21-3對抓包的數據進行分析，可以了解其行為。

首先，蠕蟲成功運行后會向指定的域名發送請求。該蠕蟲每天嘗試從50000個域名中隨機挑選500個域名，以試圖與惡意軟件制造者通信，因此會產生大量的奇怪的域名解析，如圖21-4所示。

圖21-4這些域名google和百度的搜索結果都是零，也就是說，是極冷僻的域名，如圖21-5所示。

圖21-5成功解析了這些域名后，“肉雞”(也稱傀儡機，表示被黑客遠程控制的機器)開始向這些解析后的地址發起HTTP請求，以獲得最新更新的程序和指令等，這些HTTP請求的URL比較異常，見圖21-6。

圖21-6此外，本次使用的D樣本還采用了點對點(P2P)機制，使它能夠從其他已經感染Conficker.D的計算機中分配和接收命令。因此，我們可以看到大量的向互聯網上中了蠕蟲病毒的PC發起的連接，如圖21-7所示的矩陣視圖。

圖21-7如此，我們可以看到飛客蠕蟲的威力，它可以從50000個不同的域名隨機選取500個進行解析，取得與黑客控制者的連接及下載其他節點信息，然后向其他中了飛客蠕蟲的節點進行P2P連接，取得版本信息及黑客指令，這樣不僅能夠隱藏控制者的IP，而且還使飛客蠕蟲建立起來的僵尸網絡更加健壯(P2P方式的連接方式不會因為失去一個控制者而使整個僵尸網絡瓦解)。飛客蠕蟲的傳播性極強，如果內網中有一臺PC因為訪問含病毒網站，或含木馬郵件等方式感染了飛客蠕蟲，那么局域網其他有漏洞的主機感染的概率基本是100%。飛客蠕蟲對內網其他PC的入侵和感染主要是通過網絡共享方式進行。而且，飛客蠕蟲還可以通過其他硬件載體，比如U盤、移動硬盤等方式進行傳播。網絡共享是Windows比較方便的一個利用網絡共享文件的方式，但給用戶帶來便利的同時也帶來了很大的隱患，局域網內的兩大攻擊手段就是ARP感染和網絡共享破解。飛客蠕蟲是使用網絡共享破解最多的蠕蟲病毒之一，我們可以從其他的攻擊數據上面進行驗證。

我們發現網絡中存在大量的CIFS和NetBIOS協議，而且這些協議流量不是很大，但TCP會話數卻很大，如圖21-8和圖21-9所示。

圖21-8

圖21-9這種會話具有明顯的暴力破解行為，可以通過“數據流”選項來仔細對比。我們隨機選擇兩個12個數據包的CIFS協議的數據流進行對比發現，其內容只有密碼部分在改變，如圖21-10和圖21-11所示。

圖21-10

圖21-11根據其他安全資料，可以找出其嘗試密碼的列表，見圖21-12。通過列表我們可以發現，這些密碼都是比較常見的密碼，因此設置一個比較復雜的隨機的密碼是非常重要的。

圖21-12如果局域網內某臺有漏洞的PC感染了飛客蠕蟲，在傳播過程中碰到其他PC是弱密碼或根本沒有密碼，那么被入侵就是遲早的事情了。

飛客蠕蟲的危害：

導致個人機密信息被竊取，如QQ密碼、銀行賬號、個人或公司保密文件等。感染局域網內其他主機，強大的傳播性使其他虛弱的PC受到感染，造成大面積的感染。大面積感染后會使大量消耗防火墻等設備的網絡并發連接，影響其他PC的正常業務訪問(FireWall的并發連接數是固定的，如果幾十臺PC感染了飛客蠕蟲，其產生的并發連接可能會消耗掉防火墻大多數連接數，從而導致正常用戶也受到影響，這樣就會出現帶寬足夠但訪問也會比較慢的情況)。防護：

規范用戶的上網行為，陌生郵件和危險網站要禁止打開和訪問。

個人PC要及時升級微軟更新補丁，所謂“蒼蠅不叮無縫蛋”就是這種道理。飛客蠕蟲就是針對微軟的一個漏洞，如果打了補丁修補了該漏洞，那么感染飛客蠕蟲的概率就會很低了。

個人用戶如果發現網絡訪問速度慢，或是發現比較多的網絡連接，也或是發現自己的殺毒軟件無法正常工作時，可以使用測試頁面測試是否感染了飛客蠕蟲，測試頁面為/cfeyec