【51CTO.com 綜合消息】日前，根據(jù)冠群金辰公司全球病毒監(jiān)測(cè)網(wǎng)統(tǒng)計(jì)，Win32.conficker系列蠕蟲的各個(gè)變體在我國都有發(fā)現(xiàn)，而且染毒用戶數(shù)也在不斷增加，感染對(duì)象主要集中在局域網(wǎng)用戶中，個(gè)人用戶相對(duì)感染較少。鑒于近期感染Conficker蠕蟲病毒的企業(yè)用戶增多，冠群金辰公司建議企業(yè)用戶盡快采取以下防護(hù)措施，減少病毒在內(nèi)網(wǎng)的進(jìn)一步傳播：

◆在網(wǎng)絡(luò)終端及服務(wù)器：

1、首先，檢查系統(tǒng)漏洞。針對(duì)其利用系統(tǒng)漏洞的傳播特點(diǎn)，需要用戶檢查系統(tǒng)是否安裝了KB958644 系統(tǒng)補(bǔ)丁。用戶可以利用漏洞掃描工具進(jìn)行檢測(cè)，也可以在系統(tǒng)的添加/刪除中查看（要選擇“顯示更新”）。

2、給賬戶設(shè)置強(qiáng)口令。對(duì)于企業(yè)局域網(wǎng)用戶應(yīng)管理好每個(gè)系統(tǒng)的帳號(hào)，杜絕賬號(hào)的空口令，并給管理員組賬號(hào)設(shè)置強(qiáng)壯的密碼。同時(shí)，避免建立無限制的共享目錄。這些可以通過終端管理系統(tǒng)進(jìn)行管理與維護(hù)，如：KILL終端安全管理系統(tǒng)。

3、安裝反病毒軟件。在每個(gè)終端節(jié)點(diǎn)安裝反病毒程序，如：KILL反病毒軟件，并將KILL升級(jí)到最新版本，以便抵御病毒感染。

◆在網(wǎng)絡(luò)層：

在網(wǎng)絡(luò)邊界處部署網(wǎng)關(guān)防毒類產(chǎn)品，如：KILL防病毒網(wǎng)關(guān)。在網(wǎng)絡(luò)出口處或各局域網(wǎng)中間安裝網(wǎng)關(guān)防病毒產(chǎn)品，攔截病毒的攻擊包（在此就是針對(duì)ms08-067漏洞的探測(cè)包），并阻斷病毒可能建立的P2P連接及后門連接，在網(wǎng)絡(luò)層對(duì)病毒感染及相關(guān)行為進(jìn)行阻斷。

 Conficker蠕蟲病毒介紹：

4月1日，Conficker病毒沒有按預(yù)警所言在全球大爆發(fā)，3個(gè)月過去了，該病毒漸漸被人們淡忘，但是，根據(jù)冠群金辰公司反病毒中心的跟蹤，Conficker病毒并未終結(jié)，它的變體還在不斷更新，而且也不斷有用戶感染的案例發(fā)生。

Win32.conficker系列蠕蟲的最早版本于2008年11月左右被發(fā)現(xiàn)，從最初的Win32.conficker到最新的Win32.conficker.D已經(jīng)出現(xiàn)5種變體。到目前為止，此病毒的全球感染量以上千萬計(jì)。最初在歐洲和北美地區(qū)流行較廣并造成較大危害。在我國，此病毒的各個(gè)變體也不斷有發(fā)現(xiàn)，感染對(duì)象主要集中在局域網(wǎng)用戶中。

Win32.conficker病毒出現(xiàn)以來，不斷產(chǎn)生新變體，傳播方式也不斷變化，最新Win32.conficker.D可以通過以下三種方式傳播：

1，利用系統(tǒng)漏洞

Conficker系列蠕蟲的各個(gè)變體都會(huì)利用MS08-067漏洞進(jìn)行傳播。此漏洞是08年底左右公布的windows系統(tǒng)高危漏洞，隨后微軟發(fā)布了修復(fù)補(bǔ)丁KB958644。病毒會(huì)發(fā)送特殊的RPC請(qǐng)求，使得未打補(bǔ)丁的系統(tǒng)執(zhí)行病毒代碼最終導(dǎo)致感染。

2，通過網(wǎng)絡(luò)共享傳播

Conficker.B和.D的變體會(huì)通過Windows 文件共享進(jìn)行傳播。它會(huì)使用自帶的密碼字典嘗試猜測(cè)管理員賬號(hào)密碼，訪問任意可利用的網(wǎng)絡(luò)共享(IP\ADMIN$\system32)。因此，如果本地管理員賬號(hào)的口令設(shè)置為空或比較簡(jiǎn)單則會(huì)很容易被病毒感染。這也是管理不嚴(yán)格的局域網(wǎng)被廣泛感染的主要原因。

3，通過點(diǎn)對(duì)點(diǎn)傳播

Win32.Conficker.D會(huì)利用病毒的點(diǎn)對(duì)點(diǎn)協(xié)議感染被Conficker的其它變體感染的計(jì)算機(jī)。黑客利用這個(gè)操作進(jìn)行病毒程序更新，并同時(shí)制造自己的“僵尸網(wǎng)絡(luò)”以便對(duì)感染系統(tǒng)進(jìn)行進(jìn)一步的控制。

電腦系統(tǒng)感染W(wǎng)in32.conficker病毒后，可能會(huì)產(chǎn)生以下危害：

1，刪除系統(tǒng)還原點(diǎn)

Conficker.C和D兩種變體會(huì)刪除被感染機(jī)器上所有的系統(tǒng)還原點(diǎn)。

2，使服務(wù)失效

Win32.conficker.B之后的變體會(huì)搜索某些系統(tǒng)服務(wù)，如：安全中心（wscsvc）、自動(dòng)更新（wuauserv）等，如果這個(gè)服務(wù)正在運(yùn)行，蠕蟲就會(huì)使這個(gè)服務(wù)失效：

3，后門功能

大部分的Win32.conficker變體都有建立后門的功能。通過打開從1024 到 9999之間的任意一個(gè)端口，在被感染機(jī)器上啟動(dòng)一個(gè)HTTP服務(wù)器。蠕蟲利用網(wǎng)內(nèi)的Simple Service Discovery Protocol （SSDP）協(xié)議，在網(wǎng)絡(luò)中搜索網(wǎng)關(guān)設(shè)備，例如路由器和交換機(jī)。隨后它發(fā)送一個(gè)SOAP命令請(qǐng)求到相應(yīng)設(shè)備上，并配置它，允許惡意程序打開端口訪問外網(wǎng)。

4，終止進(jìn)程

Win32.conficker.C和.D的變體會(huì)終止很多進(jìn)程，這些進(jìn)程大多是與安全相關(guān)的工具，其目的是保護(hù)自己不被發(fā)現(xiàn)/清除。

5，阻止訪問安全網(wǎng)站

Win32/Conficker.D 阻止訪問帶有指定URL字符串的站點(diǎn)，這些站點(diǎn)都是與病毒有關(guān)的安全站點(diǎn)，這樣做可以阻止反病毒程序更新病毒庫。

6，下載并運(yùn)行任意文件

Win32/Conficker.B和.C的變體對(duì)時(shí)間有判斷，如果當(dāng)前系統(tǒng)日期是2009年4月1日或者之后的日期，蠕蟲就會(huì)訪問預(yù)先計(jì)算的域名地址，下載一個(gè)更新的病毒文件或者下載其它惡意文件。