抵御Conficker攻击 保护Windows系统安全
1. 安装安全更新MS08-067,了解关于该漏洞的详细信息、受影响软件、检测和部署工具和指导方案和安全更新部署信息等。
2. 请确保你运行的防病毒软件已经安全最新安全更新,并请选择有良好信誉的供应商。
3. 检查安全软件或者设备(如防病毒网络入侵检查系统或者主机入侵检查系统等)更新保护功能。
?本文转自e800.com.cn 最好的方法给机子装一款好的防火墙,并经常杀毒.
conficker.worm.gen.a是什么病毒?
W32/Conficker.worm.gen (Symantec)
Mal/Conficker (Sophos)
性质:蠕虫
平台:Windows
传播途径:系统传播、网络传播。
中毒症状:
1.释放如下文件:
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp
2.感染移动存储介质:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
%DriveLetter%\autorun.inf
3.注入进程:
svchost.exe
explorer.exe
services.exe
3.停用下面系统服务:
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
4.Vista下还会运行下面命令行语句:
netsh interface tcp set global autotuning=disabled
5.该蠕虫使用api hook,
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto
劫持用户访问带有下列字符的网站:
virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot
nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing
norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate
bit9
sans
cert
6.修改以下注册表项达到迅速传播的目的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = dword:0x00FFFFFE
7.通过MS08-067漏洞传播。
8.开放http服务传播。
9.上网下载病毒文件。
10.修改以下注册表项:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List, [PortNumber]:TCP = "[PortNumber]:TCP:*Enabled:[random]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]
Type = dword:00000001
Start = dword:00000003
ErrorControl = dword:00000000
ImagePath = "\...\%MalwarePath%\[random].tmp"
DisplayName = [Random]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName = %ServiceName%
Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
ObjectName = "LocalSystem"
Description = %description%
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]\Parameters
ServiceDll = %MalwarePath%
解决方法:
1.升级安装windows补丁,MS08-067漏洞补丁极为重要。
2.谨慎使用优盘等移动介质。
3.安装防病毒软件,并升级到最新病毒库,进行全盘杀毒。
4.为windows设置一个较为强劲的密码。
5.如果发现局域网中感染,立即切断其网络进行处理。
6.专杀工具:
?product=chktrust下载360安全卫士扫描一下。360对付木马很好用,有自带多种专杀,
配合专杀使用,查杀效果更好。蠕虫。会发带毒邮件或者冲击波阻塞网络。w32/conficker.worm.gen (symantec) mal/conficker (sophos) 性质:蠕虫 平台:windows 传播途径:系统传播、网络传播。 中毒症状: 1.释放如下文件: %system%\[random].dll %program files%\internet explorer\[random].dll %program files%\movie maker\[random].dll %all users application data%\[random].dll %temp%\[random].dll %system%\[random].tmp %temp%\[random].tmp 2.感染移动存储介质: %driveletter%\recycler\s-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters] %driveletter%\autorun.inf 3.注入进程: svchost.exe explorer.exe services.exe 3.停用下面系统服务: windows automatic update service (wuauserv) background intelligent transfer service (bits) windows security center service (wscsvc) windows defender service (windefend) windows error reporting service (ersvc) windows error reporting service (wersvc) 4.vista下还会运行下面命令行语句: netsh interface tcp set global autotuning=disabled 5.该蠕虫使用api hook, dns_query_a dns_query_utf8 dns_query_w query_main sendto 劫持用户访问带有下列字符的网站: virus spyware malware rootkit defender microsoft symantec norton mcafee trendmicro sophos panda etrust networkassociates computerassociates f-secure kaspersky jotti f-prot nod32 eset grisoft drweb centralcommand ahnlab esafe avast avira quickheal comodo clamav ewido fortinet gdata hacksoft hauri ikarus k7computing norman pctools prevx rising securecomputing sunbelt emsisoft arcabit cpsecure spamhaus castlecops threatexpert wilderssecurity windowsupdate nai ca avp avg vet bit9 sans cert 6.修改以下注册表项达到迅速传播的目的: hkey_local_machine\system\currentcontrolset\services\tcpip\parameters "tcpnumconnections" = dword:0x00fffffe 7.通过ms08-067漏洞传播。 8.开放http服务传播。 9.上网下载病毒文件。 10.修改以下注册表项: hklm\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\globally