Conficker
计算机蠕虫病毒
Conficker,也被称作Downup,Downadup或Kido,Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。迄今已出现了A、B、C、E四个版本,全球已有超过1500万台电脑受到感染。Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染。
简介
这个蠕虫利用的是一个已知的被用于windows2000,windowsxp,windowsvista,windowsserver2003和windowsserver 2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。
“conficker”这个名字是一个德语的双关语,意思是“操作计算机设置的程序”发音就像是英语中的“configure”。“configuration”通常被简称为“config”。conficker的命名来源于configuration的前五个字母,同时添加了以ficker为结尾,ficker是一个粗俗的词,是德语ficken的名词形式,在德语中的意思就是英语中的“f**ker”。
操作
conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。
当在一台电脑中成功执行,它会禁用一些系统服务,比如windows系统更新,windows安全中心,windowsdefender和windows错误报告。然后他会连接一个服务器,在那里他会接到进一步传播的命令,收集个人信息,和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中,像是svchost.exe,explorer.exe和services.exe。
有效负载
conficker变种将会创建一个Http服务器并打开一个1024到10000之间的随机端口。如果远程机被利用成功的情况下,受害者将会连接这个http服务器并下载一个病毒副本。它将会重置系统还原点并下载文件到目标计算机。
被感染症状
帐户锁定政策被自动复位。
某些微软Windows服务会自动禁用,如自动更新,后台智能传输服务(BITS ), WindowsDefender和错误报告服务。
域控制器对客户机请求回应变得缓慢。
系统网络变得异常缓慢。这可以从检测的网络流量图和windows任务管理器中看出。
杀毒软件,windows系统更新有关的网站无法访问。
另外它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。
事件影响
纽约时报报道,直到二零零九年一月二十二日conficker感染了九百万台计算机
而卫报估计三百五十万计算机被感染。而杀毒软件厂商F-Secure报告说被conficker感染的计算机达到九百万到二零零九年一月二十六日,它感染了超过一千五百万计算机使它成为最近感染最广泛的病毒。
另一家杀毒软件厂商Panda报告两百万台计算机通过Activescan,大约十一点五万人(百分之六)被感染了这个恶意软件。
Conficker被报告创造了最大的僵尸网络,因为百分之三十的windows计算机没有更新微软二零零八年十月释放的补丁。国防部报告说很多主要的系统和桌面计算机被感染。谢菲尔德报告说这个蠕虫已经感染了超过八百万台计算机,已经遍布行政办公室、海军的桌面系统、潜艇、医院和整个城市。
专家说这是SQL Slammer之后最严重的病毒感染。
Conficker.C变种的反汇编代码中,发现了攻击全球上百家大网站的设置,并认为黑客很可能会采用向这些网站发送数据包的DDOS攻击方式发动网络攻击
由于该蠕虫曾一度让法国海军飞机停飞,近日还深度感染了英国议会的网络系统,因而很快受到公众关注。
“Conficker.C蠕虫正在它所感染的电脑中进行休眠的死循环,一旦系统时间到2009年4月1日之后,它就会清醒过来,在一系列浮点运算后向上百家预先指定的网站发送数据包,以Conficker.C在全球多达上千万台电脑的感染量来判断,它们所组成的僵尸网络在互联网世界中威力不亚于核武器,任何一家网站的服务器在这样高强度的攻击压力下都会迅速瘫痪,而这些攻击目标很可能是Conficker作者在Alexa流量排名中选取的高排名站点。”
据了解,Conficker蠕虫在2008年11月首次现身在互联网中,它利用Windows操作系统MS08-067漏洞将自己植入未打补丁的电脑,并以局域网、U盘等多种方式传播。一位法国士兵便是在家使用U盘中了Conficker,随后法国海军内网被大面积感染,军方如临大敌,不仅切断所有Web与电邮系统,部分战机的起飞计划也被突然叫停。随后,英国、德国的军事系统也爆出大面积感染Conficker蠕虫的消息,其传播能力与影响力可见一斑。
诡异的是,在疯狂感染全球电脑之余,Conficker蠕虫的行为却出奇地“安分守己”。从表面上来看,“它一不为名——不倒计时60秒、不拥堵网络、不弹窗、不穿透还原、不让众人皆知;二不图利——只是隐藏起来而不窃网银网游,甚至连攻击失败导致用户电脑系统崩溃或登录失败的案例也很少见。”微软中国公司资深安全研究人员“大牛蛙”(网名)在其个人博客中如此写道,“堪称是全球蠕虫的‘模范’。”
被感染用户根据国家分布的情况(数据来源:SRI International)
根据最新截获的E型变种病毒,病毒可能于5月3日进行大规模爆发,目标可能是部分预先指定的网站。
修复和清除
在两千零八年十月十五日微软释放了一个补丁(MS08-067)用于修复这个漏洞。清除工具可以从微软赛门铁克卡巴斯基获得,同时麦咖啡可以清楚地通过特殊扫描。病毒可以通过USB自动播放传播,通过注册表关闭USB的自动播放功能是推荐的选择。微软释放了windowsXPsp2和sp3、windows2000sp4、vista的补丁,没有释放windowsXPsp1和更早版本系统的补丁,这些系统的服务包支持已经过期。
具体清除方法
科技产业合作打击Conficker:
二零零九年二月十二日,微软宣布成立一个科技产业合作,以打击Conficker的影响。合作组织涉及Microsoft,Afilias, ICANN, Neustar, Verisign, CNNIC, Public Internet Registry,Global Domains International, Inc., M1D Global, AOL, Symantec,F-Secure, ISC, researchers from Georgia Tech, The ShadowserverFoundation, Arbor Networks and Support Intelligence.
微软正试图给一年中恶劣影响的蠕虫病毒犯罪予压力,提供二十五万美元的奖金给提供制造Conficker作者信息,让conficker作者定罪的人。
Conficker是一个罪恶的攻击,微软公司的奖金已经被确认。微软希望帮助当局捕获这个病毒的责任人。奖金在任何一个国家的法律都有效,因为网络病毒影响全世界的网络。Conficker病毒的信息应该按照国际法的相关细则办理。
变种
美国计算机应急小组(简称“US-CERT”)周一发布警告称,一个Conficker蠕虫的新变种“Conficker B++”开始在互联网上出现并通过开启系统后门等方式传播恶意程序,感染计算机。
该小组表示,这个新型Conficker/Downadup蠕虫被命名为“Conficker B++”,使用全新的后门途径,并且增加了“自动更新功能”。
微软方面也发表言论,指出没有迹象显示感染先前Conficker变种的计算机会重复感染此次新型变种。但是早期的Conficker变种已经开始放慢通过漏洞进行传播的脚步。
微软在自己的咨询活动中这样说,“我们发现,新型变种不再围绕netapi32.dll做文章。取而代之的是引入一种精细的代码加壳模式,同时引入URL更新负载系统;这种更新模式只有在被恶意程序成功验证后执行,然而,对于该蠕虫的作者来说,给现有的Conficker网络升级到新型变种,显然不是一件容易的事情。”微软已于前不久悬赏25万美元缉拿Conficker蠕虫的始作俑者。
Conficker蠕虫在2008年崭露头角,通过Windows系统的一个漏洞进行传播,微软也在2008年的10月23日发布了该漏洞的补丁。除此之外,Conficker可通过移动存储进行传播,如U盘,移动硬盘等;在局域网中,该蠕虫还会通过猜测用户名和密码,以网络共享的方式进行传播。
不得不说的是,之前的Conficker变种确实是个大忙人,Conficker.A型变种感染了超过470万个IP地址,它的后者,Conficker.B则更甚,感染了超过670万个IP地址。二者加起来感染了将近1140万台计算机终端。
制造者
迄今还没被发现,美国ABC新闻网近期在广泛征求赛门铁克、美国司法部、全美白领犯罪中心(the National White Collar Crime Center)以及其他几家著名的科技咨询机构意见的基础上,综合考虑影响范围、经济损失、影响力等因素,Conficker蠕虫自2008年11月20日被发现以来,迄今全球已有超过1500万台电脑受到感染。如果其制造者身份得以弄清楚,其制造者将跻身全球最著名5大黑客。
参考资料
最新修订时间:2023-05-26 21:23
目录
概述
简介
参考资料