微软公司在2008年10月23日发布了一个重要的安全更新MS08-067以解决Windows服务器服务中的漏洞,因为当时正面临着有针对性的攻击威胁。该漏洞可以让匿名攻击者通过网络攻击完全掌握对漏洞系统的控制,而攻击最终要的载体通常都与网络“蠕虫”有关。自从发布MS08-067后,微软恶意软件保护中心(MMPC, Microsoft Malware Protection Center )已经确定了Win32/Conficker的两种变体:
·蠕虫病毒:Win32/Conficker.A于2008年11月21日被发现。
·蠕虫病毒:Win32/Conficker.B于2008年12月29日被发现。
Conficker大事记
2008年11月21日MMPC发现了蠕虫病毒Win32/Conficker.A,该蠕虫病毒试图通过网络攻击利用MS08-067漏洞来散播自身,同日,MMPC对微软Forefront 、Microsoft OneCare以及Windows Live OneCare Safety Scanner增加了签名和检测功能。2008年11月25日MMPC通过其博客公布了有关这个病毒的信息。
2008年12月29日MMPC发现了第二个变体Win32/Conficker.B,并于同日对其 Microsoft Forefront、 Microsoft OneCare以及Windows Live OneCare Safety Scanner增加了签名和检测功能。蠕虫病毒Win32/Conficker.B通过以下方式传播自身:
1. 通过网络攻击利用MS08-067漏洞来散播自身从而攻击计算机系统。
2.将自身复制到目标机器的ADMIN$System32文件夹并通过时间表设置让该文件每天执行, 首先它会尝试利用登录用户的登录证书,只要该帐户具有管理权限,用户在网络的不同电脑环境使用这些相同的登录证书。如果这种方法失败,它就会尝试不同的方法:在目标机器上保护使用者帐户列表,并试图使用每个用户名和猜测的简单密码来进行登录,如果这样做登录成功的话,并且帐户还有写入权限的话,病毒就能将自身复制到ADMIN$文件夹中。
3.将自身复制到可移动媒介(如USB驱动)和其他使用自动播放功能启动自身的移动存储设备。 注意:上面列举的第二种和第三种放啊并没有利用MS08-067涉及的安全漏洞,因此安装了该漏洞安全更新的系统就可以成功阻止这两种攻击方式。
2008年12月31日MMPC通过其博客公布了有关Conficker.B的信息。
2009年1月13日,MMPC在其恶意软件移除工具(MSRT,Windows Malicious Software Removal Tool)加入了移除Win/Conficker.A和Win/Conficker.B的功能。
2009年2月12日,微软公司重金奖励提供关于在网上非法传播Conficker恶意代码犯罪分子信息的人,该公司认为这种Conficker蠕虫病毒确实属于恶意非法行为。
如何保护计算机免受Conficker攻击
1. 安装安全更新MS08-067,了解关于该漏洞的详细信息、受影响软件、检测和部署工具和指导方案和安全更新部署信息等。
2. 请确保你运行的防病毒软件已经安全最新安全更新,并请选择有良好信誉的供应商。
3. 检查安全软件或者设备(如防病毒网络入侵检查系统或者主机入侵检查系统等)更新保护功能。
4. 将未打补丁的系统或者感染系统与网络其他设备隔离开来。
5. 部署强度高的密码。
6. 使用组策略或者注册表功能禁用自动播放功能,微软公司告诉用户允许用户禁用自动播放/自动运行已经通过自动更新方式部署了。
注意:Windows 2000、Windows XP和Windows Server 2003客户必须部署安全更新才能够成功禁用自动播放功能,而Windows Vista 和Windows Server 2008客户则需要部署MS08-038更新才能成功禁用自动运行功能。
如何清理受感染的系统
1. 手动下载MSRT到未感染的计算机上,然后部署到已感染的计算机上来清除病毒。
2.不能在自己环境中使用MSRT的用户可以阅读微软知识库文章(链接为http://support.microsoft.com/kb/962007)来了解如何手动移除Win/Conficker.B。