Conficker 蠕虫清除方法.docx
2页
保护自己免受保护自己免受 ConfickerConficker 蠕虫侵袭蠕虫侵袭有关 Conficker 将如何在 4 月 1 日造成破坏的话题已经谈了很多 Conficker 全称为 W32/Conficker.worm,从 2008 年年末开始攻击 Microsoft Windows 中的漏洞从这时开始,迈克菲就发现了此蠕虫的另外两个变种和许 多带有该蠕虫的恶意攻击负载的二进制文件,这些文件可随时加载到内存并执 行Conficker.C 是其最新变种其“自动通报协议”(call-home protocol) 将在 4 月 1 日(星期三)发生变化,这可能会促使某些尚不确定的功用进行 更新迈克菲已经在自己的终端和网络产品中提供了 Conficker 蠕虫防范措施,并且 Microsoft 也针对 Conficker 系列赖以传播的漏洞发布了安全补丁但仍有许 多计算机用户担心会受到感染下面的信息将有助于您了解有关该蠕虫、清理 受感染系统可以采取的步骤以及防重复感染措施的更多信息症状症状Conficker 感染的症状包括以下几个方面: 对安全相关站点的访问被阻挡目录锁定,用户无法进入流量通过非目录服务 (DS) 服务器上的 445 端口发送对管理员共享盘的访问被拒绝Autorun.inf 文件被放到回收目录或垃圾箱中感染方法感染方法Conficker.C 是 Conficker worm 的最新变种。
只有那些仍然在受前两个变种 (Conficker.A 和 Conficker.B)感染的系统才会受到 Conficker.C 的感染, 这两个变种攻击 Microsoft Windows Server Service 中的 MS08-067 漏洞 如果利用此漏洞的意图得逞,则启动文件共享后,它就会允许远程代码执行 Conficker 通过创建有计划的任务和/或使用 autorun.inf 文件实现自我重新 激活,对抗旨在清除它的措施迈克菲已识别出数千个携带有 Conficker 攻击负载的二进制文件根据特定的 变种,该病毒可能会经由 LAN、WAN、Web 或移动设备,并通过攻击安全度较低 的密码进行传播Conficker 将使多种重要的系统服务和安全产品瘫痪,并随 意下载文件感染这种蠕虫的计算机会变成被破坏计算机大军中的一员,将被 用于在网站上发送攻击、分发垃圾邮件、支持网络钓鱼诈骗网站或执行其他恶 意活动删除删除我们建议客户采取以下步骤清除 W32/Conficker.worm,防止其传播:1. 安装安装 MicrosoftMicrosoft 安全更新安全更新 MS08-MS08- 067067: 067.mspx 2. 清除受感染的系统,然后重新启动系统清除受感染的系统,然后重新启动系统 (在安全模式下)使用反恶意软件解决方案(例如,McAfee VirusScan Plus 或 ToPS for Endpoint)清理感染。
使用行为检测技术(例如,Host IPS 中的缓冲区溢出防护)防止未来感染这一点很重要,因为 Conficker 可 以通过便携介质(例如,受感染的 USB 设备)传播访问该介质时,系统 会处理 autorun.inf 并执行攻击要了解更多信息,请参阅 McAfee LabsTM 的文档“Combating Conficker Worm(消灭 Conficker 蠕虫)” 3. 识别其他处于感染风险中的系统识别其他处于感染风险中的系统 您需要识别哪些系统处于风险中这包括没有为 Microsoft MS08-067 漏 洞安装补丁的系统,或者不具备旨在弥补漏洞的前瞻性保护控制措施的系 统McAfee Vulnerability Manager 和 McAfee ePolicy Orchestrator 可以识别易受攻击和未受保护的系统 4. 遏止威胁的传播能力遏止威胁的传播能力 在网络的战略点使用网络 IPS 可快速遏止威胁的传播能力这将使您有时 间更新您的客户端防病毒签名,或使用行为控制修改拦截威胁的策略 5. 下载扫描工具下载扫描工具下载McAfee Conficker Detection Tool,全网进行扫描,查找中毒机器,然后按 上面的 1-4 步,清除病毒。
