【51CTO.com 综合消息】日前,根据冠群金辰公司全球病毒监测网统计,Win32.conficker系列蠕虫的各个变体在我国都有发现,而且染毒用户数也在不断增加,感染对象主要集中在局域网用户中,个人用户相对感染较少。鉴于近期感染Conficker蠕虫病毒的企业用户增多,冠群金辰公司建议企业用户尽快采取以下防护措施,减少病毒在内网的进一步传播:
◆在网络终端及服务器:
1、首先,检查系统漏洞。针对其利用系统漏洞的传播特点,需要用户检查系统是否安装了KB958644 系统补丁。用户可以利用漏洞扫描工具进行检测,也可以在系统的添加/删除中查看(要选择“显示更新”)。
2、给账户设置强口令。对于企业局域网用户应管理好每个系统的帐号,杜绝账号的空口令,并给管理员组账号设置强壮的密码。同时,避免建立无限制的共享目录。这些可以通过终端管理系统进行管理与维护,如:KILL终端安全管理系统。
3、安装反病毒软件。在每个终端节点安装反病毒程序,如:KILL反病毒软件,并将KILL升级到最新版本,以便抵御病毒感染。
◆在网络层:
在网络边界处部署网关防毒类产品,如:KILL防病毒网关。在网络出口处或各局域网中间安装网关防病毒产品,拦截病毒的攻击包(在此就是针对ms08-067漏洞的探测包),并阻断病毒可能建立的P2P连接及后门连接,在网络层对病毒感染及相关行为进行阻断。
Conficker蠕虫病毒介绍:
4月1日,Conficker病毒没有按预警所言在全球大爆发,3个月过去了,该病毒渐渐被人们淡忘,但是,根据冠群金辰公司反病毒中心的跟踪,Conficker病毒并未终结,它的变体还在不断更新,而且也不断有用户感染的案例发生。
Win32.conficker系列蠕虫的最早版本于2008年11月左右被发现,从最初的Win32.conficker到最新的Win32.conficker.D已经出现5种变体。到目前为止,此病毒的全球感染量以上千万计。最初在欧洲和北美地区流行较广并造成较大危害。在我国,此病毒的各个变体也不断有发现,感染对象主要集中在局域网用户中。
Win32.conficker病毒出现以来,不断产生新变体,传播方式也不断变化,最新Win32.conficker.D可以通过以下三种方式传播:
1,利用系统漏洞
Conficker系列蠕虫的各个变体都会利用MS08-067漏洞进行传播。此漏洞是08年底左右公布的windows系统高危漏洞,随后微软发布了修复补丁KB958644。病毒会发送特殊的RPC请求,使得未打补丁的系统执行病毒代码最终导致感染。
2,通过网络共享传播
Conficker.B和.D的变体会通过Windows 文件共享进行传播。它会使用自带的密码字典尝试猜测管理员账号密码,访问任意可利用的网络共享(IP\ADMIN$\system32)。因此,如果本地管理员账号的口令设置为空或比较简单则会很容易被病毒感染。这也是管理不严格的局域网被广泛感染的主要原因。
3,通过点对点传播
Win32.Conficker.D会利用病毒的点对点协议感染被Conficker的其它变体感染的计算机。黑客利用这个操作进行病毒程序更新,并同时制造自己的“僵尸网络”以便对感染系统进行进一步的控制。
电脑系统感染Win32.conficker病毒后,可能会产生以下危害:
1,删除系统还原点
Conficker.C和D两种变体会删除被感染机器上所有的系统还原点。
2,使服务失效
Win32.conficker.B之后的变体会搜索某些系统服务,如:安全中心(wscsvc)、自动更新(wuauserv)等,如果这个服务正在运行,蠕虫就会使这个服务失效:
3,后门功能
大部分的Win32.conficker变体都有建立后门的功能。通过打开从1024 到 9999之间的任意一个端口,在被感染机器上启动一个HTTP服务器。蠕虫利用网内的Simple Service Discovery Protocol (SSDP)协议,在网络中搜索网关设备,例如路由器和交换机。随后它发送一个SOAP命令请求到相应设备上,并配置它,允许恶意程序打开端口访问外网。
4,终止进程
Win32.conficker.C和.D的变体会终止很多进程,这些进程大多是与安全相关的工具,其目的是保护自己不被发现/清除。
5,阻止访问安全网站
Win32/Conficker.D 阻止访问带有指定URL字符串的站点,这些站点都是与病毒有关的安全站点,这样做可以阻止反病毒程序更新病毒库。
6,下载并运行任意文件
Win32/Conficker.B和.C的变体对时间有判断,如果当前系统日期是2009年4月1日或者之后的日期,蠕虫就会访问预先计算的域名地址,下载一个更新的病毒文件或者下载其它恶意文件。