警惕Conficker.AE病毒

          我中标了!! 
   由于新装系统,还没来得及打上补丁,中招了!!

以下引用自:http://www.tjzz.net.cn/bencandy.php?fid=13&id=5410
conficker 蠕虫变种(conficker.AE)

Conficker,也被称作Downup,Downadup或Kido,他是一个两千零八年十月发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。这个蠕虫利用的是一个已知的被用于 windows2000,windowsxp,windowsvista,windowsserver2003和windowsserver 2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。

“conficker”这个名字是一个德语的双关语,意思是“操作计算机设置的程序”发音就像是英语中的“configure”。 “configuration”通常被简称为“config”。conficker的命名来源于configuration的前五个字母,同时添加了以 ficker为结尾,ficker是一个粗俗的词,是德语fichen的名词形式,在德育中的意思就是英语中的“f**k”。

操作:

conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的 windows活动进程中,像是svchost.exe,explorer.exe和services.exe。

有效负载:conficker变种将会创建一个Http服务器并打开一个1024到10000之间的随机端口。如果远程机被利用成功的情况下,受害者将会连接这个http服务器并下载一个病毒副本。它将会重置系统还原点并下载文件到目标计算机。

被感染症状:

帐户锁定政策被自动复位。某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS ), WindowsDefender和错误报告服务。域控制器对客户机请求回应变得缓慢。系统网络变得异常缓慢。这可以从检测的网络流量图和windows任务管理器中看出。跟杀毒软件,windows系统更新有关的网站无法访问。另外它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。

影响:

纽约时报报道,直到二零零九年一月二十二日conficker感染了九百万台计算机,而卫报估计三百五十万计算机被感染。而杀毒软件厂商F-Secure 报告说被conficker感染的计算机达到九百万到二零零九年一月二十六日,它感染了超过一千五百万计算机使它成为最近感染最广泛的病毒。另一家杀毒软件厂商Panda报告两百万台计算机通过Activescan,大约十一点五万人(百分之六)被感染了这个恶意软件。Conficker被报告创造了最大的僵尸网络,因为百分之三十的windows计算机没有更新微软二零零八年十月释放的补丁。国防部报告说很多主要的系统和左面计算机被感染。谢菲尔德报告说这个蠕虫已经感染了超过八百万台计算机,已经遍布行政办公室、海军的桌面系统、潜艇、医院和整个城市。专家说这是SQL Slammer之后最严重的病毒感染。

从昨天晚上到今天晚上我查了n多资料,很少有说可以搞定它的,其实,nod32,卡巴斯基等等杀软现在都可以直接杀掉它,或者你直接用windows 恶意软件清理(这里下载:http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en) 可以直接搞定。可是当你的病毒在移动盘的时候,就没有这么简单了! 我们猜猜吧!(不学计算机,完全是个人意见,所以专业学者们别笑话我,在我的这里只是推测,不过最后肯定能够把毒杀掉就是了)

当我们的移动硬盘或者U盘中了这个毒的时候,每次杀软说要重新启动才能杀掉,而重启后我们发现它却还在那里,但是它却感染不了我们的系统和其他盘(前提是装有实时更新的能杀掉它的杀软,比如nod32),这说明不是杀软杀不掉它,而是当我们重启时,并不像我们自己本身的硬盘,重启时移动硬盘首先被从电脑删除,当杀毒软件再去检测硬盘并删除它时已经找不到它了,重启后我们就又发现它还在那里,周而复始,我们不得一遍一遍重启结果还是删不掉这东西~那么既然这样,我们何必担心它会进入我们电脑,nod32可以制服它啊,所以我们直接打开移动盘,选择不隐藏受保护文件,并且可见,然后在移动盘里面可以找到困扰我们的那个jwgkvsq.vmx,据说这个是病毒的保护编码,就是它让病毒一而再再而三的出现。看看我的电脑中毒的信息吧:

2009/3/6 18:25:49 文件系统实时防护 文件 H:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx Win32/Conficker.Gen 蠕虫 的变种 已删除 (下次重新启动后) – 已隔离 NT AUTHORITYSYSTEM 尝试通过应用程序访问文件时发生事件: C:Windowssystem32MRT.exe.

这上面这串里面,重点看MRT,是的,就是这个微软的官方软件!恶意软件清理!(它没有被感染,当它删除病毒时病毒被触发也试图侵入它,可是有nod32 在,它没有办法得逞,有矛有盾才可以)首先,你先得确定你的机子打有一个补丁,叫做MS08-067,自己去官方下载,打好补丁后,下载一个叫做 windows-kb890830-v2.7(恶意软件删除)的工具,在微软官方有下载,然后断网,用微软恶意软件删除工具扫描那个文件夹,自然而然,那个病毒会从此在你的移动设备上消失!不必烦恼了!我自己是vista系统,不过我觉得xp下面也一样,我自己成功删除了,当微软恶意软件删除工具搞定那个病毒后再用nod32去扫描你的移动设备,已经不会像以前一样出现报病毒,而是畅通无阻的绿色!希望大家能够用的上,对了,搞定后,最好重启一下。


本机是windows2003 sp2系统。
  后在看雪论坛上看,有人高价悬赏此毒作者,同时又看很多关于些病毒的相关推测!
  

   处理办法:当发现病毒的时候,我已经开始打补丁了,

                   1、卡巴斯基的–KIDO专杀,http://down.tech.sina.com.cn/content/43235.html
                   2、http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx  微软补丁

          其实最新杀软可以检测到,本机杀软NOD32   ,一直不停报警,

          有一个文件yssckdrs.bi  要创建到system32下面,不NOD32拦截并报警。

            系统进程中出现多个rundell32.exe 进程,  其它倒没有什么异常。

          虽然补丁 也打上了,系统管理员密码也换了,用专杀工具也清除过了,而且在以下两个专门检测是否中标的网站检测也通过了,检测网站:
1、http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
2、http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

但是还是会不停的报警。

后查阅到此篇博客:http://hi.baidu.com/ludilu/blog/item/700c931f4a01c4fde1fe0b70.html

才发现丫的,在计划任务中: 
 

目前暂未发现对本机有其它损失。

麦咖啡有一个查询局域网中标的机器 

192.168.1.104此机已中,  不过由于是客人自带电脑,IP是自动获到中的,暂无法寻找此机!!

当然本机是否还会出现,还待检验。

发表评论

邮箱地址不会被公开。 必填项已用*标注