搜尋結果
Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008. [2]
Conficker病毒,又名Downup、Downandup、Downadup和Kido(刻毒虫),是一种出现于2008年10月的计算机蠕虫病毒,针对微软的Windows 操作系统。
Conficker病毒 ,又名 Downup 、 Downandup 、 Downadup 和 Kido(刻毒蟲) ,是一種出現於2008年10月的計算機 蠕蟲病毒 ,針對微軟的 Windows 作業系統 。 [ 1] 這種病毒利用了 Windows 2000 、 Windows XP 、 Windows Vista 、 Windows Server 2003 、 Windows Server 2008 和 Windows 7 Beta等版本作業系統所使用的Server服務中的一個已知漏洞。 [ 2][ 3] 名稱來歷. [ 編輯] 病毒名稱Conficker是一個德語讀音類似於英語詞"configure"(配置)。
- Conficker.A 蠕蟲
- Conficker.B 蠕蟲
- 蠕蟲對電腦的影響
- 如何計算受感染的電腦數目
- 總結
- 參考資料
首次發現 Conficker 蠕蟲 (Conficker.A) 是在2008 年11 月下旬 [註: 3], 主要透過攻擊未有安裝微軟視窗 MS08-067 [註: 4] 漏洞修補程式的電腦來進行感染。這個漏洞會影響視窗系統 2000、XP、2003、Vista 和 2008。惡意程式分析員發現這個變種會判斷被感染的電腦是來自那個國家,如果是來自烏克蘭便不會繼續傳播。這個特性令人懷疑蠕蟲的作者正是位于烏克蘭。據防毒軟件公司資料,估計當時感染數目約為五十萬台電腦 [註: 5]。
在2008 年12 月尾發現了Conficker 蠕蟲的新變種 Conficker.B,除了攻擊微軟視窗漏洞外,還新增了以下的傳播途徑: 加入這兩種傳播方法後,對於公司網絡影響尤其加深。通常公司網絡對於外來連接都有一道防火牆把關,所以攻擊內部電腦的視窗系統 RPC 漏洞的方法都無法奏效。但當一部受感染的電腦或外置儲存裝置進入內部網絡,如果防毒軟件無法即時偵測這個新的變種,便可立即蔓延至整個網絡。
當電腦感染 Conficker.B 蠕蟲後會對系統造成以下影響[註: 6,7]: 1. 關閉檢視隱藏的檔案和資料夾; 2. 變更系統的 TCP/IP 連接上限參數; 3. 停止視窗系統的多個服務,包括: 1. 嘗試終止與保安相關的程序和禁止存取保安網站,目的可能是令電腦無法更新軟件資料庫和存取有關保安資料; 2. 重設系統還原點; 3. 從 2009 年1 月1 日開始,連接到一個隨機產生的網址下載檔案。目的可能是更新蠕蟲版本或接受一些命令指示; 4. 在一個隨機連接埠上執行 HTTP 伺服器程式,利用 ”回接 (call back)” 方式接收那些可以被成功攻擊 MS08-067 漏洞的電腦的回應,然後將蠕蟲檔案傳送給它; 5. 從遠端建立一個排定的工作來定時啟動電腦上的蠕蟲檔案; 6. ...
由於 Conficker 蠕蟲每日會隨機產生250 新的域名,並且會嘗試連接到這些域名所產生的網址。因此,芬蘭防毒軟件公司 F-secure 嘗試分析域名產生方程式,掌握到產生方法後就開始預先登記部份域名並建立一個黑洞系統來接收蠕蟲產生的網絡通訊,透過監視這些通訊來獲得來源的IP 地址,從而估計受感染的電腦數目。 現時大部份新聞媒體都採用由 F-secure 所提供的受感染的電腦統計數字。 截止 2009 年 1 月 16日,估計感染數字超過890 萬[註: 8,9],但是這種計算方法仍然有不足的地方,例如:計算了重覆感染的電腦。
現時製作這些惡意程式已趨向專業和注重利益,攻擊者會採用不同渠道感染電腦,而且被感染後的電腦可能與平常無異,令人難以偵測。這次Conficker 蠕蟲大規模的感染爆發都是由欠缺安裝修補程式、簡陋密碼設定和外置儲存裝置的管理等三方面問題所引起。其中安裝修補程式方面,根據 Qualys 公司的研究資料[註: 12]顯示約有三成電腦仍然未安裝MS08-067 的修補程式,而受蠕蟲感染比率最高的幾個國家,包括中國、俄羅斯和印度等國家正正是盜版軟件問題較嚴重的國家,由於盜版關系而無法自動更新系統上的漏洞。至於經外置儲存裝置而感染的 Autorun 類型病毒,是近年常見傳播方法,我們需要監管外置儲存裝置的使用和留意視窗系統的自動執行的設定。
Conficker infection. Conficker malware writers made use of domain names rather than IP addresses to make their attack networks resilient against detection and takedown. Initial countermeasures – sinkholing or preemptive registrations of domains used to identify Conficker’s
- 385KB
- 18
2011年9月27日 · For the past three years, a highly encrypted computer worm called Conficker has been spreading rapidly around the world. As many as 12 million computers have been infected with the self-updating...
The Conficker Working Group (CWG) was created as, and remains, an ad-hoc organization formed by private sector corporations, groups and individuals to counter the Conficker malware threat.
