[讨论]悬赏25万，Conficker病毒作者追踪~~~~-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]悬赏25万，Conficker病毒作者追踪~~~~

发表于: 2009-3-16 18:16 69923

[讨论]悬赏25万，Conficker病毒作者追踪~~~~

nkspark

2009-3-16 18:16

69923

查看主题内容

收藏・11

免费・0

支持

最新回复 (121) ◀ 1 2 3 4 5 ▶
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 76 楼原来是啥内容？ 2009-3-25 12:07 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 77 楼我晕，本条线索居然直指看雪某人: http://bbs.pediy.com/showthread.php?t=68129 2009-3-25 12:25 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 78 楼就是跳到新申请的空间执行真实还原后的代码,里面有层UPX,没有PE头,还看过一个变异的,不是用CALL EAX跳,是用JMP ECX来跳,不过跳过去都是一样吧?可能说明有误,请指正.... 2009-3-25 14:01 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 79 楼太强大了，膜拜他已经分析到里头了 2009-3-25 16:40 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 80 楼一个线索：Conficker中变态的用了5、6种方法生成随机数，作者典型的学院派，没准是个教师~~~~ 2009-3-26 15:14 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 81 楼估计这25万美元没人能拿到了~~~~ 这个病毒是典型的国家行为，散兵游勇根本没这个能力写出这个病毒，一般的安全公司也没这个能力。但愿这个病毒是中国网军的杰作，不是很相信我们已经有这个能力~~~~ 2009-3-27 10:59 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 82 楼请教下，什么叫国家行为？既然是典型的，以前也有喽？ 2009-3-27 13:35 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 83 楼首先，这个病毒不是一时兴起写出来的，而是做过系统的设计，MS08-067只是用来测试的一个引子。密码学技术 + Internet技术 + 变形技术 + 系统设计，都需要专人长期做，一帮高端人才弄这个，用兴趣根本解释不通。如果是为了弄钱，没必要搞得这么复杂。 2009-3-27 14:11 0
风飏雪币： 205 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	风飏 84 楼外国的新闻嘛？算事中国威胁论的一部分么？ 2009-3-27 15:27 0
wysea 雪币： 209 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 150 粉丝 0 关注私信	wysea 85 楼越来越热闹了，继续关注！ 2009-3-27 20:05 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 86 楼 http://mtc.sri.com/Conficker/ 2009-3-28 19:59 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 87 楼还是雯妹妹牛，这个是分析的最详细的一个地方，很感慨老外做研究的方法，深入细致，思路开阔。 2009-3-29 13:43 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 88 楼为什么感染了病毒的移动硬盘上的vmx和autorun都无法删除，我看了sri的的文章，这种防止删除的机制貌似http://mtc.sri.com/Conficker/ 并没有分析吧 2009-3-31 08:37 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 89 楼 SRI上分析的挺多了，但估计也只是2/3的内容甚至更少。很感慨啊，能分析完这个病毒的人应该是少而又少，国内那些拿4K的病毒分析员想搞清这个病毒，是没可能的事啊。这也是为啥国外这个病毒炒的很凶，国内静悄悄的的一个原因吧，技术上的差距还是很明显的。如果现在有谁告诉我他已经很详细地分析完Conficker了，他在反病毒企业拿20万年薪应该是很轻松的事情。没拿到这么多的话，可以来找我。我说过的啦，病毒作者如果自首的话，年薪百万啊~~~~ 2009-3-31 11:55 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 90 楼你是我的偶像~ 12. 设置其文件映像的 NTFS 文件权限，以防止写入和删除权限。是这个吗?? http://www.52pojie.cn/thread-21459-1-1.html(中文翻译版) 2009-3-31 23:43 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 91 楼现在大家都盯着看Conficker每天生成的50000域名，想知道它是如何利用这些随机域名进行更新的，更新了要做啥。但是，除非Conficker采用的随机算法是伪随机，病毒作者已经预先埋伏好了，否则的话，通过这种方式更新成功的概率为百万分之一~~~~ 当然，如果真象有的反毒公司统计的，已经感染了上千万台的话，这个似乎很小的更新概率就又变得很大了。 2009-3-31 23:49 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 92 楼这么晚还不睡？你是我偶像了现在~~~ 2009-3-31 23:50 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 93 楼想你睡不着.... 2009-3-31 23:58 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 94 楼敢情，我喷嚏从昨晚一直打到现在，饶了我吧。 2009-4-1 13:43 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 95 楼 (1/6) ( 1/((26)^4)) (1/116) * 500 = 500/318055296 = 1.57e-6 这里1/((26)^4)) 实际是1/((26)^4)) +1/((26)^5))+....+1/((26)^9))，总之，中标率不过百万分之二~~~ 今天注定是平静的一天。 2009-4-1 13:51 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 96 楼打喷嚏是有人在背后骂你耳朵痒才是想你 The Conficker worm is scheduled to possibly cause widespread damage April 1, 2009. Severity: High Risk 2009-4-1 15:13 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 97 楼 http://www.52pojie.cn/thread-21532-1-1.html 这有个C的种..... 2009-4-1 17:29 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 98 楼大致浏览了一下网上关于Conficker的帖子，都在期待Conficker能在4月1日展开大规模的攻击，结果4月1日静悄悄了，很多人都很失望。实际上，Conficker作者在隐藏Conficker的行为上是下了很多的心思的，而且作者对互联网有着深刻的理解，他的这些隐藏措施应该都是非常有效的。例如，从2009年4月1日开始，随机生成50000个域名，在这50000个中再选择500个进行解析，这就是媒体中出现最多的，好多安全公司说得最多的，一直期待的大规模攻击。但如果真的仔细去分析过代码，就会发现，Conficker在解析这500个域名的时候，每个DNS请求间隔的时间设定在10~50秒，也就是说500个域名的解析几乎要花一天的时间，网络上基本感觉不到流量的任何变化。而且，这个流量是针对DNS服务器的，与域名对应的网站没有任何关系，对网站的DDOS根本就谈不上。如果没有去分析过Conficker，自然会有以讹传讹导致的失望。 Conficker可怕的地方，恰恰在于它的隐藏，它的悄无声息，它的几乎无迹可循的更新方式。从4月1日开始，它启动了小于百万分之二成功率的更新，随着时间的延长，成功的概率越来越大，然后有一天，它终于成功更新，这一天才是值得期待的。也许石破天惊，也许依然是悄无声息~~~~~ 2009-4-2 11:10 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 99 楼膜拜哥哥~ 2009-4-2 15:12 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 100 楼别炒了，至于吗 2009-4-2 16:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nkspark

发帖

610

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (121) ◀ 1 2 3 4 5 ▶
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 76 楼原来是啥内容？ 2009-3-25 12:07 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 77 楼我晕，本条线索居然直指看雪某人: http://bbs.pediy.com/showthread.php?t=68129 2009-3-25 12:25 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 78 楼就是跳到新申请的空间执行真实还原后的代码,里面有层UPX,没有PE头,还看过一个变异的,不是用CALL EAX跳,是用JMP ECX来跳,不过跳过去都是一样吧?可能说明有误,请指正.... 2009-3-25 14:01 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 79 楼太强大了，膜拜他已经分析到里头了 2009-3-25 16:40 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 80 楼一个线索：Conficker中变态的用了5、6种方法生成随机数，作者典型的学院派，没准是个教师~~~~ 2009-3-26 15:14 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 81 楼估计这25万美元没人能拿到了~~~~ 这个病毒是典型的国家行为，散兵游勇根本没这个能力写出这个病毒，一般的安全公司也没这个能力。但愿这个病毒是中国网军的杰作，不是很相信我们已经有这个能力~~~~ 2009-3-27 10:59 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 82 楼请教下，什么叫国家行为？既然是典型的，以前也有喽？ 2009-3-27 13:35 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 83 楼首先，这个病毒不是一时兴起写出来的，而是做过系统的设计，MS08-067只是用来测试的一个引子。密码学技术 + Internet技术 + 变形技术 + 系统设计，都需要专人长期做，一帮高端人才弄这个，用兴趣根本解释不通。如果是为了弄钱，没必要搞得这么复杂。 2009-3-27 14:11 0
风飏雪币： 205 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	风飏 84 楼外国的新闻嘛？算事中国威胁论的一部分么？ 2009-3-27 15:27 0
wysea 雪币： 209 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 150 粉丝 0 关注私信	wysea 85 楼越来越热闹了，继续关注！ 2009-3-27 20:05 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 86 楼 http://mtc.sri.com/Conficker/ 2009-3-28 19:59 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 87 楼还是雯妹妹牛，这个是分析的最详细的一个地方，很感慨老外做研究的方法，深入细致，思路开阔。 2009-3-29 13:43 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 88 楼为什么感染了病毒的移动硬盘上的vmx和autorun都无法删除，我看了sri的的文章，这种防止删除的机制貌似http://mtc.sri.com/Conficker/ 并没有分析吧 2009-3-31 08:37 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 89 楼 SRI上分析的挺多了，但估计也只是2/3的内容甚至更少。很感慨啊，能分析完这个病毒的人应该是少而又少，国内那些拿4K的病毒分析员想搞清这个病毒，是没可能的事啊。这也是为啥国外这个病毒炒的很凶，国内静悄悄的的一个原因吧，技术上的差距还是很明显的。如果现在有谁告诉我他已经很详细地分析完Conficker了，他在反病毒企业拿20万年薪应该是很轻松的事情。没拿到这么多的话，可以来找我。我说过的啦，病毒作者如果自首的话，年薪百万啊~~~~ 2009-3-31 11:55 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 90 楼你是我的偶像~ 12. 设置其文件映像的 NTFS 文件权限，以防止写入和删除权限。是这个吗?? http://www.52pojie.cn/thread-21459-1-1.html(中文翻译版) 2009-3-31 23:43 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 91 楼现在大家都盯着看Conficker每天生成的50000域名，想知道它是如何利用这些随机域名进行更新的，更新了要做啥。但是，除非Conficker采用的随机算法是伪随机，病毒作者已经预先埋伏好了，否则的话，通过这种方式更新成功的概率为百万分之一~~~~ 当然，如果真象有的反毒公司统计的，已经感染了上千万台的话，这个似乎很小的更新概率就又变得很大了。 2009-3-31 23:49 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 92 楼这么晚还不睡？你是我偶像了现在~~~ 2009-3-31 23:50 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 93 楼想你睡不着.... 2009-3-31 23:58 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 94 楼敢情，我喷嚏从昨晚一直打到现在，饶了我吧。 2009-4-1 13:43 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 95 楼 (1/6) ( 1/((26)^4)) (1/116) * 500 = 500/318055296 = 1.57e-6 这里1/((26)^4)) 实际是1/((26)^4)) +1/((26)^5))+....+1/((26)^9))，总之，中标率不过百万分之二~~~ 今天注定是平静的一天。 2009-4-1 13:51 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 96 楼打喷嚏是有人在背后骂你耳朵痒才是想你 The Conficker worm is scheduled to possibly cause widespread damage April 1, 2009. Severity: High Risk 2009-4-1 15:13 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 97 楼 http://www.52pojie.cn/thread-21532-1-1.html 这有个C的种..... 2009-4-1 17:29 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 98 楼大致浏览了一下网上关于Conficker的帖子，都在期待Conficker能在4月1日展开大规模的攻击，结果4月1日静悄悄了，很多人都很失望。实际上，Conficker作者在隐藏Conficker的行为上是下了很多的心思的，而且作者对互联网有着深刻的理解，他的这些隐藏措施应该都是非常有效的。例如，从2009年4月1日开始，随机生成50000个域名，在这50000个中再选择500个进行解析，这就是媒体中出现最多的，好多安全公司说得最多的，一直期待的大规模攻击。但如果真的仔细去分析过代码，就会发现，Conficker在解析这500个域名的时候，每个DNS请求间隔的时间设定在10~50秒，也就是说500个域名的解析几乎要花一天的时间，网络上基本感觉不到流量的任何变化。而且，这个流量是针对DNS服务器的，与域名对应的网站没有任何关系，对网站的DDOS根本就谈不上。如果没有去分析过Conficker，自然会有以讹传讹导致的失望。 Conficker可怕的地方，恰恰在于它的隐藏，它的悄无声息，它的几乎无迹可循的更新方式。从4月1日开始，它启动了小于百万分之二成功率的更新，随着时间的延长，成功的概率越来越大，然后有一天，它终于成功更新，这一天才是值得期待的。也许石破天惊，也许依然是悄无声息~~~~~ 2009-4-2 11:10 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 99 楼膜拜哥哥~ 2009-4-2 15:12 0
suncloud 雪币： 238 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 69 粉丝 0 关注私信	suncloud 100 楼别炒了，至于吗 2009-4-2 16:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复