Conficker worm

 

前面文章引述新聞報導,有個世界第一名的安全威脅 Conficker (Wikipedia 說這念 con-fucker,唉呦喂~網頁一下就被打入限制級),看來像是1984年攻進警察局的魔鬼終結者一樣驚駭。 結果昨天愚人節過了,除了無薪假真的消失了,什麼也沒有發生。資安專家仍然提醒要更改強度夠強的密碼、下載最新的安全性更新、下載最新的防毒軟體更新,因為被侵入的百萬台電腦仍舊存在網際網路上。

以犯罪心理學來看,如果沒抓到原兇,這個威脅絕對會發動:一、全球已經發佈安全警訊,在有防備下,不是最佳犯罪時機。第二、既得資源仍然握在手上,捨不得放棄。第三、犯罪者的變態心理絕對會伺機而動,以達成個人成就感的滿足。

打戰是專家的事,我們在大後方先做救難演習:

 

免除 Conficker Worm 的威脅

首先,要確定你的電腦是否真的感染了Conficker,感染了並不會有很多警訊,如果知道如何找,總有些會被發現。一個最快的方法是連線到防毒軟體公司的網站。先清空瀏覽器的快取,IE 的 Temporary Internet Files,FireFox 的隱私資料。如果你可以連線到小紅傘 AviraAvast!AVG、或北京瑞星 Beijing Rising 等防毒軟體公司的網站,表是你的電腦未被 Conficker 侵入,因為它會阻止到防毒公司的連線。

另一個有效的測試是檢查 Windows 某些 services,如自動更新,Background Intelligent Transfer Service (BITS),Windows Defender (如果你有安裝的話),及 Error Reporting Services 錯誤回報。如果這些服務不是經由你而被停止,或者account lockout policies 帳戶鎖定原則被暗中改變,電腦可能被感染。其它警訊如你的區域網路有不尋常的高傳輸量,網域控制器 Domain Controller 的要求回應太慢。

假使你的電腦安裝有隨時保持最新狀態的防毒軟體,就未必會感染,除非你將電腦設定成「不自動下載更新」。但是,我們不建議你去檢查 MS08-067 (KB 958644) 的更新記錄,因為這隻 Conficker 蠕蟲,又名 Kido,Downup 或 Downadup,會偽裝成已有這項更新。

假使你的電腦已經中標了,那麼請立刻選擇下列之一的免費移除工具使用。

Mcafee 的 Stinger

ESET 的 Win32/Conficker Worm Removal Tool

賽門鐵克 Symantec 的 W32.Downadup Removal Tool

SOPHO 的 Conficker Cleanup Tool

Avira在官網宣稱:沒理由去擔心 Conficker,現行的 Avira 防毒解決方安案都能夠辨識而且掃除這個有危害性的程式。紅傘個人免費版 Avira AntiVir Personal 的更新,已提供附加的間諜軟體偵測功能,不需另外再加裝防間諜軟體。除了免費版之外,白金版與白金安全組合也一樣。這三個版本的最新版請至官網下載。之前版本 8 的授權可以移到現行版本9使用,直到授權到期為止。

AVG也宣稱 AVG Free 可以抵抗這隻病毒。(但是沒說有沒有能力移除病毒 @@)

如果上述方法都沒效,Avira 也提供 手動移除方法,Conficker-specific instructions,如何使用他們的救援光碟修覆電腦。

強烈的建議如果受感染的電腦是昂貴的主機,另有備援主機,拔掉感染主機的網路線,不要再連上網際網路,以光碟片或 USB隨身碟安裝任何修復程式

感染 Conficker 或其它變種的最普遍原因之一是:Windows 的自動執行/播放功能。ESET宣稱2008年他們偵測到的安全威脅,有1/15是利用  autorun .inf。不幸的是,關掉自動播放功能不像你想的那麼簡單,因為即使以傳統方法停止自動播放功能,電腦仍然能夠拼湊出 autorun.inf 的大部分,一點也不用「不讀取」替代。

如果要完全停止自動執行/播放功能,請將下列文字複製到『筆記本』。從最左方的「[」方括弧符號到最後的雙引線,這只能是一行,不能斷行。

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"

給它一個好記的檔名,例如 StopAutoRun.REG。點擊存檔的檔案兩次,救會將文字內附加到系統的登錄檔內,關閉 Auto這漏洞。。

當電腦掃毒乾淨,也甩開了 AutoRun功能,還是有許多事要做。這都屬行為上的改變:保持在最高層級的安全性。並且確認,你不僅採用評價不錯的安全組合 (security suite) 軟體,也將安全組合軟體設定為每日更新病毒特徵碼。

(圖片取自Wikipedia,內容取自 Rid Your Computer From Conficker Virus --Seth Rosenblatt)

 

小心!4月1日可能爆發Conficker蠕蟲攻擊

 

創作者介紹

電腦黑手仔

labors3cweb 發表在 痞客邦 PIXNET 留言(0) 人氣()