2009-04-16

2009-04-16 沒有任何防護的Windows 2000掛上網路能撐多久?

前兩天吃飽撐著時有個想法,弄台沒有任何防護(無防毒/防火牆)也沒update的Windows 2000 (SP4)直接掛上Internet,看它能撐多久.
測試日期為2009-04-13~2009-04-14 , 拿我一個閒置很久的IP來掛上.
多次測試的結果是..頂多撐10分鐘.
過程中只要發現有中標後就將測試環境整個還原後重新測試. 每次都在10分鐘之內淪陷.

這裡有用wireshark錄到的三次worm成功打進來的cap檔,可以從中看出所使用的手法,也有紀錄到打進來以後指定下載的惡意檔案位置.

從實測看來,目前Internet上四處流竄的worm主要是針對去年底MS08-067的漏洞針對 TCP:445來進行滲透感染.
成功後通知下載指定的惡意檔案.
其中有發現到的有三隻,分別是
http://83.111.115.55:4243/yxwhmqfu (4/16再次測試時還在)

這隻是 WORM/Conficker.AC ThreadExpert的報告& Virustotal的報告

http://59.125.12.124:33220/x (4/16再次測試時此連結已失效)

這隻是 Worm/Autorun.fla.1 ThreadExpert的報告& Virustotal的報告

tftp 59.147.183.11 ssms.exe (4/16再次測試已失效)

這隻是 WORM/SdBo.167936.56 (當時手滑沒留檔..不過從cap將封包資料重組匯出後小紅傘報的是這個)

另外還有一隻 http://doiluc.com/demo.exe 在當時就404了


等上述的檔案下完以後就自行感染並成為宿主向外狂掃/打 tcp:445
當然這試驗有點過分的刻意了,任何防護都沒有就掛上internet是挺蠢的一件事..

其實Windows 2000只要勤快點把update追到最新,原則上可以稍微抵擋一下這些四處流竄的worm攻勢(起碼不至於被秒殺).

目前看到的 頻率是大概10分鐘就會被不特定來源的worm搞一次;

看來最大的問題是這世界啥都可能會缺.可是就不缺懶人,難怪永遠都會有一堆的肉雞.

1 則留言:

threesecond 提到...

另外一個經驗分享:
在無任何保護下安裝 Windows 2000,安裝過程到"正在安裝網路元件",
就出現 error 中斷了,無法繼續安裝。
(錯誤訊息我已經忘了,很久以前做過的實驗)
顯然是安裝過程中一啟動網卡沒幾分鐘就被破台了,
根本無法完成安裝程序。