网站地图
zenghuilan.com
生活小窍门 解释生活中的一切名词
conficker病毒 发布于:

conficker病毒同时具有蠕虫病毒和下载者病毒的多重属性,Conficker利用Windows系统的已知MS08-067漏洞大肆传播,甚至能够利用U盘、网络共享等方式传播,当Conflicker病毒进入系统后,首先破坏系统中的默认属性设置,接着会自动搜索局域网内有漏洞的其他电脑,一旦发现存在漏洞的计算机系统,就会激活该漏洞并同感染系统创建链接,最后进行远程感染。

Conficker病毒具备了蠕虫病毒和下载者病毒的双重属性,是非常让人憎恶的病毒。该病毒进入中国后,极可能出现大量的变种,这些变种会利用新的系统漏洞进行传播,例如才曝光的MS09—002漏洞,会使用更多的反杀毒软件技术等。

Conficker病毒类型:蠕虫病毒、下载者病毒

病毒目的:入侵系统,下载盗号病毒

Conficker,也被称作Downup,Downadup或Kido,他是一个两千零剃愉放八年十月发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。这个蠕虫利用的是一个已知的被用于windows2000,windowsxp,windowsvista,windowsserver2003和windowsserver 2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。

“conficker”这个名字是一个德语的双关语,意思是“操作计算机设置的程序”发音就像是英语中的“configure”。“configuration”通常被简称为“config”。conficker的命名来源于configuration的前五个字母,同时添加了以ficker为结尾,ficker是一个粗俗的词,是德语fichen的名词形式,在德语中的意思就是英语中的“f**k”。

Conficker病毒主要是借助闪存、利用微软的MS08-067漏洞进行传播的。当 Conficker病毒进入系统后,首先破坏系统中的默认属性设置,接着会自动搜索局域网内有漏洞的其他电脑,一旦发现有存在漏洞的计算机系统,就会激活该漏洞并同感染系统创建连接,最后进行远程感染。

conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。

当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,WindowsDefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。洪兰誉击

conficker变种将会创建一个Http服务器并打开一个1024到10000之间的随机端口。如果远程机被利用成功的情况下,受害者将会连接这个http服务器并下载一个病毒副本白请。它将会重置系统还原点并下载文件到目标计算机。

帐户锁定政策被自动复位。

某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS ), WindowsDefender和错误报告服务。

域控制器对客户机请求回应变得缓慢。

系统网络变得异常缓慢。这可以从检测的网络流量图和windows任务管理器中看出。

跟杀毒软件,windows系统更新海迁断有关的网站无法访问。

另外它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。

第一步:先断开电脑的网络连接,再运行进程管理工具Wsyscheck,可以看到一个名为Amvo.exe的红色进程,它就是病毒的进程。

选中该进程后,点击右键选择“结束选择的进程”。接着选中列表中的进程Explorer.exe(图1),在模块列表中找到病毒模块文件Amvo0.dll,点击右键选择“卸载模块”即可。

Wsyscheck查找病毒进程

第二步:点击Wsyscheck中的“文件管理”,定位到每个磁盘的根目录下,选中病毒文件9m2ke.exe和Autorun.inf后,点击右键选择“直接删除”。然后定位到病毒主文件所在的System32目录下,选中病毒文件Amvo.exe和Amvo0.dll,并点击右键选择“直接删除”即可。

删除病毒进程

第三步:点击Wsyscheck中的“安全检查”标签中的“活动文件”,在列表中选择病毒启动项Amvo.exe后,点击右键选择“修复所选项付兰永妹”。最后调出系统修复工具SREng,点击“系统修复→高级修复”,腿灶寒再点击“自动修复”即可恢复被病毒破坏的系统。

修复选项

纽约时报报道,直到二零零九年一月二十二日conficker感染了九百万台计算机

而卫报估计三百五十万计算机被感染。而杀毒软件厂商F-Secure报告说被conficker感染的计算机达到九百万到二零零九年一月二十六日,它感染了超过一千五百万计算机使它成为最近感染最广泛的病毒。

另一家杀毒软件厂商Panda报告两百万台计算机通过Activescan,大约十一点五万人(百分之六)被感染了这个恶意软件。

Conficker被报告创造了最大的僵尸网络,因为百分之三十的windows计算机没有更新微软二零零八年十月释放的补丁。国防部报告说很多主要的系统和桌面计算机被感染。谢菲尔德报告说这个蠕虫已经感染了超过微舟洪八百万台计算机,已经遍布行政办公室、海军的桌面系统、潜艇、医院和整个城市。

专家说这是SQL Slammer之后最严重的病毒感染。

被感染用户根据国家分布的情况

美国计算机应急小组(简称“US-CERT”)周一发布警告称,一个Conficker蠕虫的新变种“Conficker B ”开始在互联网上出现并通过开启系统后门等方式传播恶意程序,感染计算机。

该小组表示,这个新型Conficker/Downadup蠕虫被命名为“Conficker B ”,使用全新的后门途径,并且增加了“自动更新功能”。

微软方面也发表言论,指出没有迹象显示感染先前Conficker变种的计算机会重复感染此次新型变种。但是早期的Conficker变种已经开始放慢通过漏洞进行传播的脚步。

微软在自己的咨询活动中这样说,“我们发现,新型变种不再围绕netapi32.dll做文章。取而代之的是引入一种精细的代码加壳模式,同时引入URL更新负载系统;这种更新模式只有在被恶意程序成功验证后执行,然而,对于该蠕虫的作者来说,给现有的Conficker网络升级到新型变种,显然不是一件容易的事情。”微软已于前不久悬赏25万美元缉拿Conficker蠕虫的始作俑者。

Conficker蠕虫在08年崭露头角,通过Windows系统的一个漏洞进行传播,微软也在去年的十月份发布了该漏洞的补丁。除此之外,Conficker可通过移动存储进行传播,如U盘,移动硬盘等;在局域网中,该蠕虫还会通过猜测用户名和密码,以网络共享的方式进行传播。

不得不说的是,之前的Conficker变种确实是个大忙人,Conficker.A型变种感染了超过470万个IP地址,它的后者,Conficker.B则更甚,感染了超过670万个IP地址。二者加起来感染了将近400万台计算机终端。


相关文章推荐:
下载者 | Conficker | MS08-067 | 网络共享 | 下载者 | 系统漏洞 | 反杀毒 | 蠕虫病毒 | Conficker | Downadup | windows操作系统 | 蠕虫 | Linux | conficker | configure | config | 德语 | 闪存 | 微软 | MS08-067 | conficker | 蠕虫 | 服务器 | windows安全中心 | WindowsDefender | 信息 | svchost.exe | explorer.exe | services.exe | conficker | 系统还原 | 帐户锁定 | Windows服务 | 后台智能传输服务 | 域控制器 | 网络流量 | windows任务管理器 | 进程管理 | Wsyscheck | Explorer.exe | 文件管理 | 根目录 | System32 | Wsyscheck | 启动项 | SREng | conficker | 杀毒软件 | Conficker | 僵尸网络 | 谢菲尔德 | 蠕虫 | 海军 | 潜艇 | 医院 | SQL Slammer | Conficker | 蠕虫 | 系统后门 | 重复感染 | netapi32.dll | 加壳 | 蠕虫 | Conficker | 移动存储 | 移动硬盘 | 网络共享 | Conficker | IP地址 |