关于Conficker
微软公司在2008年10月23日发布了一个重要的安全更新MS08-067以解决windows服务器服务中的漏洞,因为当时正面临着有针对性的攻击威胁。该漏洞可以让匿名攻击者通过网络攻击完全掌握对漏洞系统的控制,而攻击最终要的载体通常都与网络“蠕虫”有关。自从发布MS08-067后,微软恶意软件保护中心(MMPC, Microsoft Malware Protection Center )已经确定了Win32/Conficker的两种变体:
·蠕虫病毒:Win32/Conficker.A于2008年11月21日被发现。
·蠕虫病毒:Win32/Conficker.B于2008年12月29日被发现。
Conficker大事记
2008年11月21日MMPC发现了蠕虫病毒Win32/Conficker.A,该蠕虫病毒试图通过网络攻击利用MS08-067漏洞来散播自身,同日,MMPC对微软Forefront 、Microsoft OneCare以及Windows Live OneCare Safety Scanner增加了签名和检测功能。2008年11月25日MMPC通过其博客公布了有关这个病毒的信息。
2008年12月29日MMPC发现了第二个变体Win32/Conficker.B,并于同日对其 Microsoft Forefront、 Microsoft OneCare以及Windows Live OneCare Safety Scanner增加了签名和检测功能。蠕虫病毒Win32/Conficker.B通过以下方式传播自身:
1. 通过网络攻击利用MS08-067漏洞来散播自身从而攻击计算机系统。
2.将自身复制到目标机器的ADMIN$\System32文件夹并通过时间表设置让该文件每天执行, 首先它会尝试利用登录用户的登录证书,只要该帐户具有管理权限,用户在网络的不同电脑环境使用这些相同的登录证书。如果这种方法失败,它就会尝试不同的方法:在目标机器上保护使用者帐户列表,并试图使用每个用户名和猜测的简单密码来进行登录,如果这样做登录成功的话,并且帐户还有写入权限的话,病毒就能将自身复制到ADMIN$文件夹中。
3.将自身复制到可移动媒介(如USB驱动)和其他使用自动播放功能启动自身的移动存储设备。 注意:上面列举的第二种和第三种放啊并没有利用MS08-067涉及的安全漏洞,因此安装了该漏洞安全更新的系统就可以成功阻止这两种攻击方式。
2008年12月31日MMPC通过其博客公布了有关conficker.B的信息。
2009年1月13日,MMPC在其恶意软件移除工具(MSRT,Windows Malicious Software Removal Tool)加入了移除Win/Conficker.A和Win/Conficker.B的功能。
2009年2月12日,微软公司重金奖励提供关于在网上非法传播Conficker恶意代码犯罪分子信息的人,该公司认为这种conficker蠕虫病毒确实属于恶意非法行为。
