游戏盾_当_诛仙高防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防服务器 > 游戏盾_当_诛仙高防

游戏盾_当_诛仙高防

小墨安全管家 2021-04-08 18:35 高防服务器 89 ℃
DDoS防御
脸谱网0linkedin0推特0阅读时刻:约6分钟。在微软宣布他们发觉了一种叫做Morto的新的网络蠕虫之后,DDoS防御,过去几天对特别多人来讲都特别忙。在阅读了微软和我们的合作伙伴Sophos对于Morto的令人耳目一新的详尽文章后,我们惊奇地发觉,早在7月23日,我们的一些客户就基本感染了——同时得到了清理——从南非的一具贫穷的schlub开始,然而那个蠕虫在上周四忽然加速,开始迅速传播。然而,虽然这些帖子中的技术细节对研究人员和分析人员特别实用,但它们并没有真正触及到被感染计算机的用户会受到蠕虫病毒阻碍的核心内容。于是,在这几天花了一点时刻感染了我自个儿的一些机器之后,我想和大伙儿分享我的亲身记忆。底线,这种蠕虫病毒的目的是传播到(并感染)那些不重视安全的人的电脑上:它经过试图远程桌面电脑到那些电脑上,使用一具只能被描述为彻底愚蠢的密码的列表(完整的列表在微软对于蠕虫的技术文件中)复制到其他计算机上。人们(或公司)使用质量低劣、容易猜到的密码的人(或公司)基本(或将要)被Morto打屁股,接着他们会对蠕虫病毒对受感染计算机行为的改变(可逆但令人讨厌)感到恼火。Morto蠕虫(是的,我向来称它为Morbo,感谢你的询咨询)是特意设计来摹仿一具合法的Windows DLL的外观,也被命名为clb.dll文件. 所以,我们强烈建议您不要只搜索和删除同名文件。假如你如此做,你要么会(a)破坏某些键列列表框Windows功能,要么(b)发觉自个儿无法删除该文件,因为Windows文件爱护将然后恢复它。其实,这两个文件的大小特别接近(legit文件稍大一些),但最大的区别是legit DLL位于system32文件夹中,而不是位于c:Windows的根名目中,这是Morbto更爱慕躲藏的地点。legit DLL在属性中也有版本信息,如上面屏幕截图左侧所示(单击放大)。据报道,该蠕虫病毒是经过驱动器下载的,但我还没有看到这一点。感染后,蠕虫会捕获一具名为160.rar的有效负载-它有一具.rar扩展名,但它是一具32位可移植的可执行文件,其中有12个字节的垃圾数据预先放在PE头顶。似乎有一具足本从文件中剥离出垃圾文件,使其在目标系统上可执行;我们只需在十六进制编辑器中使用yeolde Delete键(这是一具技术术语)来完成相同的任务。引起咨询题的最直截了当的行为是蠕虫将当前用户从其计算机中注销的倾向。反复。该蠕虫的安装程序在注册表中设置了几个加载点,以便从Windows启动,但几分钟后,它会让计算机(以及自身)运行,但用户已注销。老兄,这太烦人了。这种行为紧随其后的是反复尝试登录到附近的计算机,以及蠕虫每16秒左右就会下载54496字节的有效负载。下载和多次RDP登录尝试,非常是假如它们成功的话,在蠕虫试图传播(希翼是反复失败)时,会给网络带来大量的蠕虫流量。我们看到蠕虫反复寻找域dostest1。qfsl.net网站在DNS中,这意味着拒绝服务正是那个蠕虫的创建者想要的。也算是讲,当我寻找域WHOIS注册数据时,它返回了一些奇怪的结果:这些所谓的隐私服务并不是啥新奇事。奇怪的是isprotectionservices.net也许不存在-它从未注册过-于是这是一具伪造的WHOIS记录,看起来像是一具私人的WHOIS记录。可能下一次你能把"域名"拼对了,失败者。依照ICANN的规定,这基本脚够让那个网站离线了。我也特别震惊,震惊地发觉,注册商江苏邦宁科技有限公司(sungjiang banking Science&Technology Co.,Ltd.)没有采取任何措施来禁用该域名。江苏邦宁科技有限公司是一家注册商,其域名超过半数被列为恶意软件来源。我有没有讲过我特别震惊,DDoS防御,也特别惊奇?剂量测试1。qfsl.net网站域名,由一家公司在香港托管,也许脱机。是啊,我为此悲伤极了。不幸的是,蠕虫并不在意,并且,即使子域脱机,域仍然是活动的。Morto使用了legit中的两个函数名CLB.DLL文件但也叫自个儿SvchostLoader.dll在内部,并添加ServiceHandler和ServiceMain但即便这样,DDoS防御,它也不像蠕虫对explorershell以及与之交互的方式所做的更改那么令人恼火。例如,在我的一台测试机器上,蠕虫改变了鼠标左键的默认行为-你懂,你几乎用鼠标左键点击所有东西。当您双击桌面上或文件夹中的图标时,蠕虫不再默以为"打开"行为,而是将默认行为更改为"打开属性表"在我的例子中,我找到了一具简单的修复想法(至少关于XP用户来讲):打开鼠标操纵面板,填充并清除"切换要紧和次要按钮"复选框,接着单击"确定"。在我如此做之后,鼠标按钮恢复到它的正常行为-至少直到系统重新启动。然而,不要过于自大地逆转蠕虫的变化:蠕虫与扫瞄器外壳的挂钩也许会导致计算机长时刻不响应。蠕虫在HKLMSYSTEMWPA键配置单元下的注册表项中设置一些配置数据。这也是Windows存储一些关键信息的地点,CC防御,包括用于安装Windows的CD密钥的哈希值。这不是一具好地点玩,除非你思量到Windows本身爱护注册表的那一部分并防止删除其中的任何键。存放一些你不想让任何旧的防病毒程序删除的数据的好地点。该蠕虫也许还与受感染计算机上的.Net安装举行交互,所以在受感染的计算机上.Net将生成大量新文件和注册表项。其中的意义还不清晰;很多注册表项和文件也许与蠕虫无关,大概不过分散注意力。我还注意到,蠕虫阻挠你扫瞄一具你通常能够扫瞄的名目:脱机网页文件夹,在Windows文件夹内,是一具"奥妙的"文件夹Windows显示不同于一般文件夹。我们当前的一代产品,包括WISC和WAV,以及我们马上公布的新版本(目前处于封闭测试版),都可以特别容易地修复由Morto引起的感染。但我们不能让你为你的远程桌面帐户挑选更强大的密码。你需要自个儿去做,把莫托雇佣的职员名单作为不该做的准则。对于作者博客职员Webroot博客提供专家对最新网络安全趋势的见解和分析。不管您是家庭用户依旧企业用户,我们都致力于为您提供在当今网络威胁面前保持率先所需的意识和知识。脸谱网0linkedin0推特0

游戏盾_当_诛仙高防


DDoS防御

当前位置:主页 > 高防服务器 > 游戏盾_当_诛仙高防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119