【51CTO.com 綜合消息】日前，根據(jù)冠群金辰公司全球病毒監(jiān)測網(wǎng)統(tǒng)計，Win32.conficker系列蠕蟲的各個變體在我國都有發(fā)現(xiàn)，而且染毒用戶數(shù)也在不斷增加，感染對象主要集中在局域網(wǎng)用戶中，個人用戶相對感染較少。鑒于近期感染Conficker蠕蟲病毒的企業(yè)用戶增多，冠群金辰公司建議企業(yè)用戶盡快采取以下防護(hù)措施，減少病毒在內(nèi)網(wǎng)的進(jìn)一步傳播：

◆在網(wǎng)絡(luò)終端及服務(wù)器：

1、首先，檢查系統(tǒng)漏洞。針對其利用系統(tǒng)漏洞的傳播特點，需要用戶檢查系統(tǒng)是否安裝了KB958644 系統(tǒng)補(bǔ)丁。用戶可以利用漏洞掃描工具進(jìn)行檢測，也可以在系統(tǒng)的添加/刪除中查看（要選擇“顯示更新”）。

2、給賬戶設(shè)置強(qiáng)口令。對于企業(yè)局域網(wǎng)用戶應(yīng)管理好每個系統(tǒng)的帳號，杜絕賬號的空口令，并給管理員組賬號設(shè)置強(qiáng)壯的密碼。同時，避免建立無限制的共享目錄。這些可以通過終端管理系統(tǒng)進(jìn)行管理與維護(hù)，如：KILL終端安全管理系統(tǒng)。

3、安裝反病毒軟件。在每個終端節(jié)點安裝反病毒程序，如：KILL反病毒軟件，并將KILL升級到最新版本，以便抵御病毒感染。

◆在網(wǎng)絡(luò)層：

在網(wǎng)絡(luò)邊界處部署網(wǎng)關(guān)防毒類產(chǎn)品，如：KILL防病毒網(wǎng)關(guān)。在網(wǎng)絡(luò)出口處或各局域網(wǎng)中間安裝網(wǎng)關(guān)防病毒產(chǎn)品，攔截病毒的攻擊包（在此就是針對ms08-067漏洞的探測包），并阻斷病毒可能建立的P2P連接及后門連接，在網(wǎng)絡(luò)層對病毒感染及相關(guān)行為進(jìn)行阻斷。

 Conficker蠕蟲病毒介紹：

4月1日，Conficker病毒沒有按預(yù)警所言在全球大爆發(fā)，3個月過去了，該病毒漸漸被人們淡忘，但是，根據(jù)冠群金辰公司反病毒中心的跟蹤，Conficker病毒并未終結(jié)，它的變體還在不斷更新，而且也不斷有用戶感染的案例發(fā)生。

Win32.conficker系列蠕蟲的最早版本于2008年11月左右被發(fā)現(xiàn)，從最初的Win32.conficker到最新的Win32.conficker.D已經(jīng)出現(xiàn)5種變體。到目前為止，此病毒的全球感染量以上千萬計。最初在歐洲和北美地區(qū)流行較廣并造成較大危害。在我國，此病毒的各個變體也不斷有發(fā)現(xiàn)，感染對象主要集中在局域網(wǎng)用戶中。

Win32.conficker病毒出現(xiàn)以來，不斷產(chǎn)生新變體，傳播方式也不斷變化，最新Win32.conficker.D可以通過以下三種方式傳播：

1，利用系統(tǒng)漏洞

Conficker系列蠕蟲的各個變體都會利用MS08-067漏洞進(jìn)行傳播。此漏洞是08年底左右公布的windows系統(tǒng)高危漏洞，隨后微軟發(fā)布了修復(fù)補(bǔ)丁KB958644。病毒會發(fā)送特殊的RPC請求，使得未打補(bǔ)丁的系統(tǒng)執(zhí)行病毒代碼最終導(dǎo)致感染。

2，通過網(wǎng)絡(luò)共享傳播

Conficker.B和.D的變體會通過Windows 文件共享進(jìn)行傳播。它會使用自帶的密碼字典嘗試猜測管理員賬號密碼，訪問任意可利用的網(wǎng)絡(luò)共享(IP\ADMIN$\system32)。因此，如果本地管理員賬號的口令設(shè)置為空或比較簡單則會很容易被病毒感染。這也是管理不嚴(yán)格的局域網(wǎng)被廣泛感染的主要原因。

3，通過點對點傳播

Win32.Conficker.D會利用病毒的點對點協(xié)議感染被Conficker的其它變體感染的計算機(jī)。黑客利用這個操作進(jìn)行病毒程序更新，并同時制造自己的“僵尸網(wǎng)絡(luò)”以便對感染系統(tǒng)進(jìn)行進(jìn)一步的控制。

電腦系統(tǒng)感染W(wǎng)in32.conficker病毒后，可能會產(chǎn)生以下危害：

1，刪除系統(tǒng)還原點

Conficker.C和D兩種變體會刪除被感染機(jī)器上所有的系統(tǒng)還原點。

2，使服務(wù)失效

Win32.conficker.B之后的變體會搜索某些系統(tǒng)服務(wù)，如：安全中心（wscsvc）、自動更新（wuauserv）等，如果這個服務(wù)正在運行，蠕蟲就會使這個服務(wù)失效：

3，后門功能

大部分的Win32.conficker變體都有建立后門的功能。通過打開從1024 到 9999之間的任意一個端口，在被感染機(jī)器上啟動一個HTTP服務(wù)器。蠕蟲利用網(wǎng)內(nèi)的Simple Service Discovery Protocol （SSDP）協(xié)議，在網(wǎng)絡(luò)中搜索網(wǎng)關(guān)設(shè)備，例如路由器和交換機(jī)。隨后它發(fā)送一個SOAP命令請求到相應(yīng)設(shè)備上，并配置它，允許惡意程序打開端口訪問外網(wǎng)。

4，終止進(jìn)程

Win32.conficker.C和.D的變體會終止很多進(jìn)程，這些進(jìn)程大多是與安全相關(guān)的工具，其目的是保護(hù)自己不被發(fā)現(xiàn)/清除。

5，阻止訪問安全網(wǎng)站

Win32/Conficker.D 阻止訪問帶有指定URL字符串的站點，這些站點都是與病毒有關(guān)的安全站點，這樣做可以阻止反病毒程序更新病毒庫。

6，下載并運行任意文件

Win32/Conficker.B和.C的變體對時間有判斷，如果當(dāng)前系統(tǒng)日期是2009年4月1日或者之后的日期，蠕蟲就會訪問預(yù)先計算的域名地址，下載一個更新的病毒文件或者下載其它惡意文件。