簡介
Conficker病毒具備了蠕蟲病毒和下載者病毒的雙重屬性,是非常讓人憎惡的病毒。該病毒進入中國後,極可能出現大量的變種,這些變種會利用新的系統漏洞進行傳播,例如才曝光的MS09—002漏洞,會使用更多的反防毒軟體技術等。
Conficker病毒類型:蠕蟲病毒、下載者病毒
病毒目的:入侵系統,下載盜號病毒
Conficker,也被稱作Downup,Downadup或Kido,他是一個兩千零八年十月發現的以微軟的windows作業系統為攻擊目標的計算機蠕蟲病毒。這個蠕蟲利用的是一個已知的被用於windows2000,windowsxp,windowsvista,windowsserver2003和windowsserver 2008作業系統的伺服器服務漏洞。Linux和macintosh作業系統不會受到這個病毒的影響。
“conficker”這個名字是一個德語的雙關語,意思是“操作計算機設定的程式”發音就像是英語中的“configure”。“configuration”通常被簡稱為“config”。conficker的命名來源於configuration的前五個字母,同時添加了以ficker為結尾,ficker是一個粗俗的詞,是德語fichen的名詞形式,在德育中的意思就是英語中的“f**k”。
病毒原理
Conficker病毒主要是藉助快閃記憶體、利用微軟的MS08-067漏洞進行傳播的。當 Conficker病毒進入系統後,首先破壞系統中的默認屬性設定,接著會自動搜尋區域網路內有漏洞的其他電腦,一旦發現有存在漏洞的計算機系統,就會激活該漏洞並同感染系統創建連線,最後進行遠程感染。
conficker蠕蟲傳播主要通過運行windows系統的伺服器服務的緩衝區漏洞。它使用特定的RPC請求在目標電腦上執行代碼。
當在一台電腦中成功執行,它會禁用一些系統服務,比如windows系統更新,windows安全中心,WindowsDefender和windows錯誤報告。然後他會連線一個伺服器,在那裡他會接到進一步傳播的命令,收集個人信息,和下載安裝附加的惡意程式到受害人的計算機中。它還會把自己添加到必然會有的windows活動進程中,像是svchost.exe,explorer.exe和services.exe。
有效負載
conficker變種將會創建一個Http伺服器並打開一個1024到10000之間的隨機連線埠。如果遠程機被利用成功的情況下,受害者將會連線這個http伺服器並下載一個病毒副本。它將會重置系統還原點並下載檔案到目標計算機。
感染症狀
帳戶鎖定政策被自動復位。
某些微軟Windows服務會自動禁用,如自動更新,後台智慧型傳輸服務(BITS ), WindowsDefender和錯誤報告服務。
域控制器對客戶機請求回應變得緩慢。
系統網路變得異常緩慢。這可以從檢測的網路流量圖和windows任務管理器中看出。
跟防毒軟體,windows系統更新有關的網站無法訪問。
另外它發射暴力密碼破解攻擊管理員密碼以幫助它穿越並擴散到管理員共享。最好是把密碼更換成更好的。
克制方案
第一步:先斷開電腦的網路連線,再運行進程管理工具Wsyscheck,可以看到一個名為Amvo.exe的紅色進程,它就是病毒的進程。
選中該進程後,點擊右鍵選擇“結束選擇的進程”。接著選中列表中的進程Explorer.exe(圖1),在模組列表中找到病毒模組檔案Amvo0.dll,點擊右鍵選擇“卸載模組”即可。
Wsyscheck查找病毒進程
第二步:點擊Wsyscheck中的“檔案管理”,定位到每個磁碟的根目錄下,選中病毒檔案9m2ke.exe和Autorun.inf後,點擊右鍵選擇“直接刪除”。然後定位到病毒主檔案所在的System32目錄下,選中病毒檔案Amvo.exe和Amvo0.dll,並點擊右鍵選擇“直接刪除”即可。
刪除病毒進程
第三步:點擊Wsyscheck中的“安全檢查”標籤中的“活動檔案”,在列表中選擇病毒啟動項Amvo.exe後,點擊右鍵選擇“修復所選項”。最後調出系統修復工具SREng,點擊“系統修復→高級修復”,再點擊“自動修復”即可恢復被病毒破壞的系統。
修複選項
影響
紐約時報報導,直到二零零九年一月二十二日conficker感染了九百萬台計算機
而衛報估計三百五十萬計算機被感染。而防毒軟體廠商F-Secure報告說被conficker感染的計算機達到九百萬到二零零九年一月二十六日,它感染了超過一千五百萬計算機使它成為最近感染最廣泛的病毒。
另一家防毒軟體廠商Panda報告兩百萬台計算機通過Activescan,大約十一點五萬人(百分之六)被感染了這個惡意軟體。
Conficker被報告創造了最大的殭屍網路,因為百分之三十的windows計算機沒有更新微軟二零零八年十月釋放的補丁。國防部報告說很多主要的系統和桌面計算機被感染。謝菲爾德報告說這個蠕蟲已經感染了超過八百萬台計算機,已經遍布行政辦公室、海軍的桌面系統、潛艇、醫院和整個城市。
專家說這是SQL Slammer之後最嚴重的病毒感染。
被感染用戶根據國家分布的情況
變種
美國計算機應急小組(簡稱“US-CERT”)周一發布警告稱,一個Conficker蠕蟲的新變種“Conficker B ”開始在網際網路上出現並通過開啟系統後門等方式傳播惡意程式,感染計算機。
該小組表示,這個新型Conficker/Downadup蠕蟲被命名為“Conficker B ”,使用全新的後門途徑,並且增加了“自動更新功能”。
微軟方面也發表言論,指出沒有跡象顯示感染先前Conficker變種的計算機會重複感染此次新型變種。但是早期的Conficker變種已經開始放慢通過漏洞進行傳播的腳步。
微軟在自己的諮詢活動中這樣說,“我們發現,新型變種不再圍繞netapi32.dll做文章。取而代之的是引入一種精細的代碼加殼模式,同時引入URL更新負載系統;這種更新模式只有在被惡意程式成功驗證後執行,然而,對於該蠕蟲的作者來說,給現有的Conficker網路升級到新型變種,顯然不是一件容易的事情。”微軟已於前不久懸賞25萬美元緝拿Conficker蠕蟲的始作俑者。
Conficker蠕蟲在08年嶄露頭角,通過Windows系統的一個漏洞進行傳播,微軟也在去年的十月份發布了該漏洞的補丁。除此之外,Conficker可通過移動存儲進行傳播,如隨身碟,移動硬碟等;在區域網路中,該蠕蟲還會通過猜測用戶名和密碼,以網路共享的方式進行傳播。
不得不說的是,之前的Conficker變種確實是個大忙人,Conficker.A型變種感染了超過470萬個IP位址,它的後者,Conficker.B則更甚,感染了超過670萬個IP位址。二者加起來感染了將近400萬台計算機終端。