Conficker蠕虫清除方法.docx

保护自己免受 Conficker 蠕虫侵袭 有关 Conficker 将如何在 4 月 1 日造成破坏的话题已经谈了很多。Conficker 全称为 W32/Conficker.worm，从 2008 年年末开始攻击 Microsoft Windows 中的漏洞。从这时开始，迈克菲就发现了此蠕虫的另外两个变种和许多带有该蠕虫的恶意攻击负载的二进制文件，这些文件可随时加载到内存并执行。Conficker.C 是其最新变种。其“自动通报协议”(call-home protocol)将在 4 月 1 日（星期三）发生变化，这可能会促使某些尚不确定的功用进行更新。 迈克菲已经在自己的终端和网络产品中提供了 Conficker 蠕虫防范措施，并且 Microsoft 也针对 Conficker 系列赖以传播的漏洞发布了安全补丁。但仍有许多计算机用户担心会受到感染。下面的信息将有助于您了解有关该蠕虫、清理受感染系统可以采取的步骤以及防重复感染措施的更多信息。 症状 Conficker 感染的症状包括以下几个方面： 对安全相关站点的访问被阻挡 目录锁定，用户无法进入 流量通过非目录服务 (DS) 服务器上的 445 端口发送 对管理员共享盘的访问被拒绝 Autorun.inf 文件被放到回收目录或垃圾箱中 感染方法 Conficker.C 是 Conficker worm 的最新变种。只有那些仍然在受前两个变种（Conficker.A 和 Conficker.B）感染的系统才会受到 Conficker.C 的感染，这两个变种攻击 Microsoft Windows Server Service 中的 MS08-067 漏洞。如果利用此漏洞的意图得逞，则启动文件共享后，它就会允许远程代码执行。Conficker 通过创建有计划的任务和/或使用 autorun.inf 文件实现自我重新激活，对抗旨在清除它的措施。 迈克菲已识别出数千个携带有 Conficker 攻击负载的二进制文件。根据特定的变种，该病毒可能会经由 LAN、WAN、Web 或移动设备，并通过攻击安全度较低的密码进行传播。Conficker 将使多种重要的系统服务和安全产品瘫痪，并随意下载文件。感染这种蠕虫的计算机会变成被破坏计算机大军中的一员，将被用于在网站上发送攻击、分发垃圾邮件、支持网络钓鱼诈骗网站或执行其他恶意活动。 删除 我们建议客户采取以下步骤清除 W32/Conficker.worm，防止其传播： 安装 Microsoft 安全更新 MS08-067： HYPERLINK /technet/security/Bulletin/MS08-067.mspx \t _blank /technet/security/Bulletin/MS08-067.mspx 清除受感染的系统，然后重新启动系统(在安全模式下)使用反恶意软件解决方案（例如，McAfee VirusScan Plus 或 ToPS for Endpoint）清理感染。使用行为检测技术（例如，Host IPS 中的缓冲区溢出防护）防止未来感染。这一点很重要，因为 Conficker 可以通过便携介质（例如，受感染的 USB 设备）传播。访问该介质时，系统会处理 autorun.inf 并执行攻击。要了解更多信息，请参阅 McAfee LabsTM 的文档“ HYPERLINK /products/mcafee-avert/documents/combating_w32_conficker_worm.pdf \t _blank Combating Conficker Worm（消灭 Conficker 蠕虫）” 识别其他处于感染风险中的系统您需要识别哪些系统处于风险中。这包括没有为 Microsoft MS08-067 漏洞安装补丁的系统，或者不具备旨在弥补漏洞的前瞻性保护控制措施的系统。McAfee Vulnerability Manager 和 McAfee ePolicy Orchestrator 可以识别易受攻击和未受保护的系统。 遏止威胁的传播能力在网络的战略点使用网络 IPS 可快速遏止威胁的传播能力。这将使您有时间更新您的客户端防病毒签名，或使用行为控制修改拦截威胁的策略。 下载扫描工具 下载 HYPERLINK /cn/threat-center/confickertest.aspx McAfee Conficker Detection Tool，全网进行扫描，查找中毒机器，然后按上面的1-4步，清除病毒。