謝至恩自本月初率先報導 Downadup/Conficker 蠕蟲開始感染網路主機後,該蠕蟲的危害日益為烈,微軟於今日發佈最新版本的惡意軟體移除工具 (MSRT),便針對 Conficker 蠕蟲而來,可為已經感染蠕蟲的網路主機移除 Conficker 。
過去的幾個星期中,微軟的緊急應變中心追蹤到 Win32/Conficker 的變種蠕蟲產生並且開始影響相當數量的使用者,我們定名為 Worm:Win32/Conficker.B 。
這隻新的變種蠕蟲除了原先會對還沒有完成安裝重大安全性更新:MS08-067 的用戶造成影響外,它同時利用其他多種方式進行攻擊行為;
譬如會自行破解使用薄弱密碼的網路分享(如 1111),然後將惡意程式複製到網路分享資料匣再感染其他使用者,同時間發現這隻新的變種蠕蟲也嘗試透過可攜式儲存設備(如 USB)擴大感染範圍,並影響已經完成更新 MS08-067 的用戶。
這隻惡意程式透過多層次的偽裝與設計,企圖妨礙現行安全產品(如防毒軟體)的偵測與分析;而這樣的設計造成也的確造成,在清除 Worm:Win32/Conficker.B 時相當的困難且不易徹底清除。
當 Worm:Win32/Conficker.B 發作時,它會置換掉以下機碼中的存取權限, HKLMSYSTEMCurrentControlSetServices,同時間修改本機的存取控制清單 (Access Control List),只允許本機帳號可以存取,增加管理者遠端進行協助清除的困難度,便於後續其他惡意行為的進行,而針對這些伴隨蠕蟲攻擊產生的檔案,該蠕蟲會自動進行鎖定用來躲避任何可能性的存取,偵測分析甚至防毒軟體的清除行為。
在過去的幾個星期中,我們也同時間接獲相當數量從世界各地而來,不管是因為還沒有完整且落實的安裝 MS08-067,或是大量的使用檔案/網路共享而遭到感染的支援申請。
因此為了協助廣大使用者更有效的徹底清 Conficker;微軟特別在本月份發佈的 MSRT 惡意軟體移除工具(Microsoft Windows Malicious Software Removal Tool)加入了針對已知該蠕蟲與其變種的清除方式,來協助始使用者進行全面性徹底的清除。
建議採取以下的修正步驟完整清除 Win32/Conficker 的感染
步驟一: 務必完成重大安全更新 MS08-067 的安裝;
步驟二: 緊接著修改所有電腦上共享資料匣的密碼(請注意使用符合密碼複雜性原則,如採用數字文字混雜的密碼,像是 A1H6,以避免過於簡單的密碼遭蠕蟲破解);
步驟三: 最後請執行下載 MSRT 惡意軟體移除工具 來進行徹底的清除工作。
由於在某些案例中,我們發現 Win32/Conficker 會阻斷 Windows Update 的網路存取,因此建議管理/使用者可以手動下載,並且將下載後的工具放置於限制寫入的儲存空間,再分享給其他電腦進行後續的清除動作。
在 KB 891716 中,微軟提供了如何在企業內部有效利用 MSRT 清除以及完整的預防措施。詳細資訊請參閱以下連結:
- The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Vista, Windows Server 2003, Windows XP, or Windows 2000
http://support.microsoft.com/kb/890830 - Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise environment:
http://support.microsoft.com/kb/891716