-
-
[讨论]“飞客”木马还存在吗?
-
发表于: 2015-6-16 21:18
-
昨天在搭建IPS测试时发现了异常流量。我是使用的suricata+centos6搭建的(不扯这些)
在测试过程中,该系统突然出现了如下报警信息。
网上查了一下是飞客木马。
但是飞客木马不是在11年就被cncert给屏蔽了吗?如下图,被感染“飞客”病毒的网站,已经被cncert给屏蔽掉了,也就是说就算你感染了木马也不会向主控节点发送消息。
然后无聊的我,抓了一下该木马向外连接的数据包,如下图
的确很多发送的http连接是无用的,要么是404 Not Found 要么就是
本来是以为就是一个流浪的小木马而已,,还是很老的。打算不管的时候发现一个东西。其中有一个IP是连接正常的,而且还返回了一串加密的字符串。如下图
难道还有人在用这个木马吗?而且在我查找原因的时候,还发现这个木马在扫描08_067这个漏洞,还在感染其他主机。(虽然xp 已经被淘汰,但是实验室的测试机还是喜欢安装xp的)这是什么情况。如下图,抓到的感染其他主机的行为
我自己的虚拟机是很久之间装的,大概是12年吧。一直没有发现有这样的流量,就是在昨天我进行扫描测试的时候,打开了爱奇艺和人人这两个网站就出现了这个流量,之前测试也没有出现过这流量,真的不知道为什么?
如果这病毒连接已经全部被屏蔽掉,那为什么还是有点连接 能够连接上去呢?
用pchunter看了一下进程,貌似这个病毒注入的是svchost.exe进程中,dll为bcwvdd.dll(隐藏文件,只能用pchunter能够看到)
不懂反汇编和调试,只能做这些了。只是不知道这个木马还存在不存在?想玩的也可以玩一下。
网站上也有专杀工具,想必当年这个木马还是挺吊的。
专杀工具 kidokillרɱv3.3.rar
在测试过程中,该系统突然出现了如下报警信息。
网上查了一下是飞客木马。
““飞客”蠕虫及僵尸木马病毒可被利用以窃取用户敏感数据,造成信息泄漏事件,甚至能够被利用发动大规模拒绝服务攻击,可能成为有力的信息战工具。”
但是飞客木马不是在11年就被cncert给屏蔽了吗?如下图,被感染“飞客”病毒的网站,已经被cncert给屏蔽掉了,也就是说就算你感染了木马也不会向主控节点发送消息。
然后无聊的我,抓了一下该木马向外连接的数据包,如下图
的确很多发送的http连接是无用的,要么是404 Not Found 要么就是
<html><body><h1>Conficker Sinkhole By CNCERT/CC!</h1>\n,
本来是以为就是一个流浪的小木马而已,,还是很老的。打算不管的时候发现一个东西。其中有一个IP是连接正常的,而且还返回了一串加密的字符串。如下图
难道还有人在用这个木马吗?而且在我查找原因的时候,还发现这个木马在扫描08_067这个漏洞,还在感染其他主机。(虽然xp 已经被淘汰,但是实验室的测试机还是喜欢安装xp的)这是什么情况。如下图,抓到的感染其他主机的行为
我自己的虚拟机是很久之间装的,大概是12年吧。一直没有发现有这样的流量,就是在昨天我进行扫描测试的时候,打开了爱奇艺和人人这两个网站就出现了这个流量,之前测试也没有出现过这流量,真的不知道为什么?
如果这病毒连接已经全部被屏蔽掉,那为什么还是有点连接 能够连接上去呢?
用pchunter看了一下进程,貌似这个病毒注入的是svchost.exe进程中,dll为bcwvdd.dll(隐藏文件,只能用pchunter能够看到)
不懂反汇编和调试,只能做这些了。只是不知道这个木马还存在不存在?想玩的也可以玩一下。
网站上也有专杀工具,想必当年这个木马还是挺吊的。
专杀工具 kidokillרɱv3.3.rar
|
|
|---|---|
