ggffgg - 2009-3-28 11:48:00
从事件里看病毒在不断尝试破解AD域的帐户和密码,来源于网内的各个客户端,我不清楚这确实是客户端的行为还是服务器上的病毒伪造的,MS08-67的补丁和病毒库在服务器上客户端都部署上了,因为是域控不可能那么随便的就重装,请问有人碰到过这个问题吗,如何解决;
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; InfoPath.1; .NET CLR 2.0.50727)
piao2008 - 2009-3-28 11:50:00
ggffgg - 2009-3-28 11:54:00
谢谢楼上,MSRT昨天下班时让他跑着了,其它步骤应该都用过
ggffgg - 2009-3-28 12:03:00
另外我想问问Conficker病毒有没有相关的dll或exe文件,还是随机生成的,实在不行我只能在服务器上分析一个个进程里的模块了
超级游戏迷 - 2009-3-28 12:42:00
原帖由 ggffgg 于 2009-3-28 12:03:00 发表
另外我想问问Conficker病毒有没有相关的dll或exe文件,还是随机生成的,实在不行我只能在服务器上分析一个个进程里的模块了
根据目前了解的情况,可以告诉你三点:
1、病毒通过远程计算机入侵;
2、创建随机名驱动程序,映像文件也是随机命名,驱动和文件可用狙剑可以看到,SRENG不可;
3、通过远程计算机在本机创建计划任务。
更多细节可以GOOGLE……
aaccbbdd - 2009-3-28 15:38:00
© 2000 - 2025 Rising Corp. Ltd.