网络攻防——黛蛇蠕虫病毒

黛蛇蠕虫是互联网上爆发的一个著名的蠕虫案例，它可以说是互联网安全威胁从网络病毒蠕虫时代终结，进入以僵尸网络，网页木马为热门的客户端威胁时代网络蠕虫的一次谢幕演出。

黛蛇蠕虫是在2005年12月15日开始在互联网上爆发的，主要是利用微软Windows操作系统在同年10月份爆出的MSDTC服务MS05-051安全漏洞，同时还集成MS05-039，MS04-045等漏洞的攻击代码。

在黛蛇爆发后，狩猎女神团队通过在互联网上部署的蜜罐系统在第一时间截获了蠕虫样本，并积极配合CNCERT/CC团队对蠕虫爆发事件进行了应急处理，有效的抑制了蠕虫的传播

黛蛇蠕虫事件应急处理过程的时间路线：

*12-15—21:45，狩猎女神在第一时间监测发现并截获了黛蛇蠕虫样本
*12-16—10:24，向CNCERT/CC报告了黛蛇爆发事件，定位了用于传播的shell控制指令，FTP服务器
*12-16—19:30，此时黛蛇已经感染了上万台主机，CNCERT/CC协调关闭了用于传播的FTP服务器，从而控制了进一步传播
*12-16—19:45，发布了黛蛇蠕虫样本分析报告
*12-17，CNCERT/CC对相关主机进行取证分析，定位蠕虫编写者为河南省南阳市某ADSL用户，并追踪到蠕虫编写者的网名和个人博客
*12-18—15:00，协助CNCERT/CC发布了黛蛇蠕虫公告。

黛蛇蠕虫机制：
①：外部感染源首先通过TCP 1025端口的MSDTC服务漏洞MS05-051攻陷蜜罐主机
②：注入shellcode，并执行后将连接控制命令服务器，获取FTP服务器位置和下载指令
③：从FTP服务器下载黛蛇蠕虫样本到蜜罐主机
④：在蜜罐主机上激活黛蛇蠕虫病毒
⑤：在蜜罐主机激活之后再进一步对外扫描进行传播

黛蛇蠕虫运行后，会扫描并试图利用漏洞攻击目标主机，目标主机的地址就是蠕虫携带的地址列表生成的，多数地址瞄准了中国互联网上国内用户，蠕虫攻击主机成功后，会操纵目标主机自动连接到某控制命令服务器的53号端口，请求黑客指令，然后根据指令从某FTP服务器下载并运行一个键盘记录软件和黛蛇蠕虫文件包，从而完成传染过程