陳清芳WORM_DOWNAD (亦稱為 Conficker) 是一個蠕蟲,最早發現於 2008 年 11 月。它會利用 Microsoft 於 10 月份所修補的一個 Windows 漏洞 (MS08-067) 進行攻擊。
2009 年 2 月所偵測到的 WORM_DOWNAD.AD 變種,則增加了利用網路共用資料夾與 Windows 卸除式儲存裝置 (例如 USB 磁碟) AutoRun 功能來散播的能力。
而 3 月稍早出現的 WORM_DOWNAD.KK 變種,還會關閉一些安全服務,阻礙已感染的電腦連上資安廠商網站,並且下載一個木馬程式。不僅如此,還會透過對等式 (peer-to-peer) 通訊服務與其他已感染的電腦通訊,而且程式內含有一個可產 50,000 個不同網域的演算法,惡意程式會從其中隨機選取 500 個並從 4 月 1 日開始從已感染的電腦進行連線,藉此接收新版的惡意程式、新的惡意元件,或者新的功能指令。過去的 WORM_DOWNAD 變種,一天僅會產生並連線至 250 個網域。
WORM_DOWNAD.AD 與 .KK 是最近網路上出現的最新變種。以下是兩者之間的差異對照:
| 行為 | WORM_DOWNAD.AD | WORM_DOWNAD.KK |
| 將其清單所列的一些程序終止 | 否 | 是 |
| 刪除 safeboot 系統登錄機碼 | 否 | 是 |
| 產生的隨機 URL 網域數量 | 250 | 50.000 |
| 產生的隨機網域觸發時間 | 2009 年 1 月 9 日 | 2009 年 4 月 1 日 |
| 透過卸除式磁碟散播 | 是 | 否 |
| 利用 MS08-067 漏洞散播 | 是 | 是 |
| 安裝的檔案名稱 | {隨機名稱}.dll | {隨機名稱}.dll |
| 安裝隨機的服務 | 是 | 是 |
| 使用核心 (Hook) API | 是 | 是 |
| 阻止電腦連上某些防毒廠商網站 | 是 | 是 |
| 連線至數個網站以檢查系統時間 | 是 | 是 |
| 修改以下系統登錄機碼
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost |
是 | 是 |
| 將自己複製到以下資料夾 | %Program
Files%Internet Explorer %Program Files%Movie Maker %Temp%
%Application Data% %system dir% |
%Program
Files%Internet Explorer %Program Files%Movie Maker %Program Files%Windows Media Player %Program Files%Windows NT |
| 有 regrun (autorun) 機碼值 | 是 | 是 |
| 透過網路共用資料夾散播 (產生 JOB 檔案) | 是 | 否 |
| 使用連接埠 445 | 是 | 是 |
| 將惡意程序注入一些正常執行中的程序 | 是 (svchost 或 services.exe) | 是 (svchost 或 services.exe) |
| 檢查目標電腦的作業系統 | 是 | 是 |
| 修改一些系統登錄機碼將某些服務關閉
Background Intelligent Transfer Service (BITS) Windows Error Reporting Service Windows Security Center Service Windows Automatic Update Service |
是 | 是 |
| 修改系統登錄權限讓自己的服務存取 | 是 | 是 |
| 連線至某些網站以查看其他已感染電腦的 IP 位址 | 是 | 否 |
預防與偵測:
趨勢科技建議尚未開啟自動更新功能的家庭使用者,儘速啟用自動更新以取得最新的資訊安全軟體和病毒碼。
企業用戶應遵從全球產官學界的專家指示,部署微軟 MS08-067 安全性更新,確定自己的資訊安全軟體採用最新的病毒碼與掃瞄引擎,利用趨勢科技的工具並遵照指示清除任何感染 WORM_DOWNAD 變種的系統,並且,根據企業政策和程序評估是否實行額外的最佳安全實務。
除此之外,趨勢科技也強烈建議企業採取下列步驟來預防攻擊、執行清除、完全消除威脅。
強烈建議採取以下步驟進一步預防 DOWNAD 攻擊:
1. 立即安裝 MS08-067 與其他漏洞修補程式/更新 (隨時注意廠商動態)
2. 停用「磁碟自動執行」(Drive Auto-run) 功能以防止遭到 USB 磁碟感染 (DOWNAD.AD)
3. 要求所有工作站使用複雜的密碼,如 Microsoft 所建議:http://technet.microsoft.com/en-us/library/cc786468.aspx,藉此避免惡意程式利用排程工作暴力破解密碼 (DOWNAD.AD)
對網路群組套用一些密碼原則,防止惡意程式透過網路散播:(DOWNAD.AD)
4. 若要修改群組原則的更新間隔,請參考此網頁。
5. 若要立即更新群組原則,請參考此網頁。
延伸閱讀:淺談企業資訊安全策略的應用-WORM_DOWNAD
註:
本文當中提到以下幾個趨勢科技所偵測到的 WORM_DOWNAD/Conficker 蠕蟲。
趨勢科技命名方式與業界使用名稱對照:
· WORM_DOWNAD.A 亦稱為 Conficker.A
· WORM_DOWNAD.AD 亦稱為 Conficker.B
· WORM_DOWNAD.AD 亦稱為 Conficker.B++
· WORM_DOWNAD.KK 亦稱為 Conficker.C