最近公司八德廠一樓的電腦出現f-secure瘋狂的大量跳出攔截到病毒的訊息,大約每十分鐘有一台電腦遭受感染,因此緊急的研究傳染的方式與病毒之工作原理症狀:
1.會不定時重開機 (f-secure防毒會出現發現病毒,刪除隔離就自動重開機)
2.SYSTEM32資料夾被隱藏(顯示所有檔案也看不到,用Unhide也無效)
3.亂數產生的檔案在SYSTEM32資料夾和Tasks資料夾內。
4.各槽會有auto的資料夾,該資料夾有許多亂數名稱的bat檔。
經過實際測試發現f-secure 的確是有攔截到該病毒的散佈所以才會主動跳出訊息,但是一日沒找到源頭所有使用著的電腦將會瘋狂跳出相關訊息,這點對用者而言是一大困擾,也會造成MIS人員的負擔。

因此努力上網找尋相關網路上該病毒的相關資料:
更詳細的 conficker 技術資料
http://labors3cweb.pixnet.net/blog/post/27166410

快速解決 Win32/Conficker.Gen Worm 討人厭的病毒
http://blog.yam.com/leo2016/article/34439784

針對近期的Conficker 蠕蟲,微軟發佈最新的版本惡意軟體移除工具
http://www.microsoft.com/taiwan/security/articles/msrt0114.mspx

Microsoft Safety Scanner
http://www.microsoft.com/security/scanner/zh-tw/

實際測試各大廠商釋出的解毒工具之後,發現其 Win32/Conficker.Gen worm 變種病毒非常的難搞,該病毒是利用系統漏洞來散佈的,就算有防毒,但沒有微軟修補程式及安裝至最新,此狀況依然存在,病毒依然持續在區網內瘋狂感染其他電腦。

於是反應給f-secure的廠商,廠商建議針對蠕蟲攻擊的處理方式,建議請依照下列方式處理:
1. 請先實體網路隔離
2. 使用病毒移除工具,清除病毒後會重開機
3. 下載微軟修補程式及安裝
4. 安裝防毒軟體
5. 建議變更該台機器使用者的登入密碼

下列網址為f-secure針對downadup (AKA:kido、conflicker)病毒提供的移除工具:
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

下列網址為微軟提供修補downadup攻擊漏洞的修補方式及程式:
http://support.microsoft.com/kb/962007
http://www.microsoft.com/taiwan/technet/security/bulletin/MS08-067.mspx

arrow
arrow
    全站熱搜

    chunju 發表在 痞客邦 留言(0) 人氣()