工作原理
Conficker蠕蟲傳播主要通過運行windows系統的服務器服務的緩衝區漏洞。它使用特定的RPC請求在目標電腦上執行代碼。
當在一台電腦中成功執行,它會禁用一些系統服務,比如windows系統更新,windows安全中心,windowsdefender和 windows錯誤報告。然後他會連接一個服務器,在那裡他會接到進一步傳播的命令,收集個人信息,和下載安裝附加的惡意程序到受害人的計算機中。它還會 把自己添加到必然會有的windows活動進程中,像是svchost.exe,explorer.exe和services.exe。
Conficker變種將會創建一個Http服務器並打開一個1024到10000之間的隨機端口。如果遠程機被利用成功的情況下,受害者將會連接這個http服務器並下載一個病毒副本。它將會重置系統還原點並下載文件到目標計算機。
感染症狀
感染Conficker病毒的主機將無法訪問與殺毒軟件,安全技術社區、windows系統更新有關的網站無法訪問。
感染後,該病毒會自動關閉其利用的 Windows漏洞,這也導致殺毒軟件無法分辨哪些電腦下載了合法的微軟補丁程序,哪些是感染了Conficker。
帳戶鎖定政策被自動復位,某些微軟 Windows服務會自動禁用,如自動更新,後台智能傳輸服務(BITS ), WindowsDefender 和錯誤報告服務。
域控制器對客戶機請求回應變得緩慢。系統網絡變得異常緩慢。這可以從檢測的網絡流量圖和windows任
務管理器中看出。另外它發射暴力密碼破解攻擊管理員密碼以幫助它穿越並擴散到管理員共享。最好是把密碼更換成更好的。
Conficker病毒早在去年就掀起不小的風波,它同時具有蠕蟲病毒和下載者病毒的多重屬性,Conficker利用Windows系統的已知MS08-067漏洞大肆傳播,甚至能夠利用U盤、網絡共享等方式傳播,當 Conflicker病毒進入系統後,首先破壞系統中的默認屬性設置,接著會自動搜索局域網內有漏洞的其他電腦,一旦發現存在漏洞的計算機系統,就會激活 該漏洞並同感染系統創建鏈接,最後進行遠程感染。截至到目前,全球範圍內感染此病毒的電腦大約1200多萬台,目前Conficker在中國的活躍率,每天大約100W,據SRI International統計,全球25%被感染Conficker的用戶來自中國。
雖然微軟已在去年十月發行補丁修補了相關漏洞,但是國內外多家安全機構最近還是發出了「Conficker蠕蟲將在愚人節發動攻擊」的預警,原來Conficker蠕蟲變種Conficker C出現了,該變種使用全新的後門途徑,增加了自動更新功能,據安全廠商預測,Conficker可能在2009年愚人節這天華麗登場。
留言列表
