難纏的Conficker.B 變種蠕蟲!
大家應該有發現最近更新文章的頻率變的很低吧,之前幾乎天天會更新部落格,最近可能變得兩三天才會更新一次,一方面可能是有點懶^^" 另一方面是因為上個月在準備考試在加上1月6號公司電腦中毒,上個月幾乎是疲於抓毒跟準備考試@@
而公司電腦中毒沒多久就發現到我們中了Conficker.B這隻病毒上網查了一下發現Conficker.B是由Conficker.A 變種出來的新病毒。
在回顧10月23日,微軟(Microsoft)以非常罕見的方式,緊急發佈了MS08-067安全性公告,為的正是拉起紅色警報,呼籲Windows用戶宜全面戒備,及早防堵潛藏於Windows Server服務當中的遠端執行程式碼弱點,而微軟、賽門鐵克也不約而同察覺到,已有利用該漏洞作惡的網路蠕蟲開始流竄,兩家業者分別將之命名為 Win32/Conficker.A、Downadup;事後證實,此一蠕蟲果真十分難纏,近期發動攻擊之頻率明顯攀升,為免事態進一步擴大,微軟再度提出呼籲,用戶應儘快下載並安裝MS08-067修補程式。
而在去年的MS08-067修補程式解決了所有支援Windows作業系統版本server服務中所存在可能會允許遠端執行程式碼的弱點,成功遏阻了大規模駭客攻擊。但近來微軟發現,有蠕蟲透過使用者尚未更新MS08-067的安全弱點進行攻擊,而且也已產生出新的變種Worm:Win32/Conficker.B。台灣微軟提醒尚未安裝MS08-067安全更新的使用者,應盡速下載(http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx),以降低資安風險。
小心 Conficker 變種蠕蟲! 台灣微軟:應盡速下載安全更新
在過去幾個星期中,微軟緊急應變中心追蹤到Win32/Conficker產生出變種蠕蟲並且開始影響相當數 量的使用者。這隻新的變種蠕蟲被定名為Worm:Win32/Conficker.B,除了會對還沒有完成安裝重大安全更新MS08-067的用戶造成影 響外,還會利用其他多種方式進行攻擊。例如這隻變種蠕蟲會自行破解使用簡單密碼的網路分享,然後將惡意程式複製到網路分享資料匣之後,再感染其他使用者; 此外,也會嘗試透過可攜式儲存設備(如USB)擴大感染範圍。
Conficker.B 感染的徵狀
如果你的電腦已感染此蠕蟲,你可能會遇到下面的徵狀,或者可能遇到其中一種徵狀:
1.下列服務會自動被停用(無法安裝修補程式)
- wscsvc - Security Center
- wuauserv - Automatic updates
- BITS - Background Intelligent Transfer Service
- WinDefend - Windows Defender
- ERSvc - Error Reporting Service
- WerSvc - Windows Error Reporting Service
2.中病毒的電腦無法存取各種安全性相關的網站(無法更新病毒碼跟微軟update)
Ccert.
sans.
bit9.
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
nod32
f'prot
jotti
kaspersky
f'secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
3.帳戶鎖定原則是被存取
就像上面所說的這隻變種蠕蟲會自行破解使用簡單密碼的網路分享,然後將惡意程式複製到網路分享資料匣之後,再感染其他使用者,也就是說Conficker這隻會不斷的試帳號跟密碼,而在我公司的環境裡有網域控制站,下圖事件檢視器裡的安全性,大家應該會發現整排全部都是稽核失敗,而且只有短短的一秒唷!!(6點11分29秒)我也大概算過它一秒鍾可以試6~80次左右吧。
因為之前有設定稽核性原則只要輸入3次錯誤的帳號密碼帳戶就會被鎖定,所以剛開始病毒發作的時候我跟另外一個MIS每天只要解鎖就好了Orz...
4.網路擁塞
5.網域控制站回應速度緩慢用戶端的要求
解決方法
為了避免交叉感染再加上公司電腦數眾多所以我是利用批次檔在透過AD發佈讓使用者在開機的時候自動掃瞄微軟的掃惡意程式軟體,並安裝修補程式,最後將每台電腦的防毒軟體都更新到最新病毒碼。
不過因為Conficker.B會把更新的服務給停掉所以必須將服務給開起來,以下為我的批次檔內容給大家參考一下。
sc config wscsvc start= auto
sc config wuauserv start= auto
sc config BITS start= auto
sc config ERSvc start= auto
(將服務裡面的啟動類型改成自動)
\\伺服器名稱\分享目錄\windows-kb890830-v2.6.exe /F:Y /q
(windows-kb890830-v2.6.exe 是微軟的掃瞄惡意程式工具,後面加的/F:Y 參數是強制進行完整掃瞄且會自動清除感染的檔案,/q是無訊息模式不會顯示UI)
net start wscsvc
net start wuauserv
net start BITS
net start ERSvc
(將服務狀態改成啟動)
\\伺服器名稱\分享目錄\WindowsXP-KB958644-x86-CHT.exe /q /norestart
\\伺服器名稱\分享目錄\WindowsXP-KB958687-x86-CHT.exe /q /norestart
(安裝修補程式 /norestart 是讓他更新完不重新啟動,不然應該會無限迴圈@@)
藍色字是註解~紅字要換成你的分享目錄喔,因為是電腦啟動指令碼的方法所以分享目錄裡的共用權限跟安全性權限都要給Domain Computer 「變更」和「讀取」的使用權限喔。
檔案下載:
歷史上的今天
- 解決 OSCommerce 前後台錯誤訊息 - 2010
yanxc says:
二月 6th, 2009 at 00:29:54
最近忙?我有空过来看看。。
阿肥 says:
二月 7th, 2009 at 10:33:14
謝謝你的解決方法.
但... 你沒想過架一台 WSUS 來用嗎? 會不會就比較降低了因為漏洞而造成中毒的現象了呢?
Ken says:
二月 25th, 2009 at 15:27:45
您好,搜尋到您的文章
可惜,我的情況:1.
AD 帳號經常被鎖定 2.完全沒有稽核失敗紀錄 3.完整掃毒過 4. 更新已完成,自動更新正常.........目前我還是無解!!