Conficker蠕虫病毒剖析以及防范措施.docVIP

Conficker蠕虫病毒剖析以及防范措施 2009-03-11 08:29作者：徐晓宇 万立夫出处：电脑报责任编辑：杨玲 ? 　　Conficker病毒具备了蠕虫病毒和下载者病毒的双重属性，是非常让人憎恶的病毒。该病毒进入中国后，极可能出现大量的变种，这些变种会利用新的系统漏洞进行传播，例如才曝光的MS09—002漏洞，会使用更多的反杀毒软件技术等。 　　Conficker病毒类型：蠕虫病毒、下载者病毒　　病毒目的：入侵系统，下载盗号病毒 　　Conficker病毒来了 　　微软悬赏25万美元通缉，法国军方飞行训练叫停，这一切都是因为小小的一个病毒在作祟，那就是Conficker。自从2008年10月，安全厂商关注这个病毒开始，短短几个月时间，Conficker病毒已经感染了近400万台电脑(数据来自美国斯坦福研究院国际公司的技术报告)。 　　以前我们浏览Conficker新闻的时候，还可以轻松地打一回酱油，幸灾乐祸的人有，梦想得到那25万美元赏金的有……不过现在，它跟咱们中国网民可不再隔着喜马拉雅山、隔着太平洋了，它已经进入中国了。目前，该病毒已经在中国的网络上大肆传播，各种被“改良”的变种不断涌现。 　　人人都受影响 　　假设你是一名《魔兽世界》爱好者，当你登录自己的游戏账号时发现密码怎么都不对，也许这就是Conficker的“功劳”。与其他的病毒相比，Conficker更像是一个大毒枭，它可以下载各种盗号病毒来肆虐你的电脑，把你的装备洗清、金钱扔光，像一个凶暴的牛头人酋长一样把你的辛苦践踏在足下，剩下的只有玩家茫然无助的眼神。 　　我又不玩游戏，我不怕!如果你样想，那就大错特错了。你用网银吧，它会下载盗取网银的病毒。什么?不用网银?QQ用吧、论坛用吧、邮箱用吧……凡是可能要账号的，都可能被盗。 　　我什么也不用，它盗什么?那倒也是，不过你的系统设置会被修改，影响你的操作，这样还会置身事外，还会坦然处之? 　　病毒原理：Conficker病毒主要是借助闪存、利用微软的MS08-067漏洞进行传播的。当Conficker病毒进入系统后，首先破坏系统中的默认属性设置，接着会自动有哪些信誉好的足球投注网站局域网内有漏洞的其他电脑，一旦发现有存在漏洞的计算机系统，就会激活该漏洞并同感染系统创建连接，最后进行远程感染。 　　克制病毒方案 　　第一步：先断开电脑的网络连接，再运行进程管理工具Wsyscheck(下载地址：/soft/utilitie/systems/319/442819.shtml )，可以看到一个名为Amvo.exe的红色进程，它就是病毒的进程。 　　选中该进程后，点击右键选择“结束选择的进程”。接着选中列表中的进程Explorer.exe(图1)，在模块列表中找到病毒模块文件Amvo0.dll，点击右键选择“卸载模块”即可。? 　　第二步：点击Wsyscheck中的“文件管理”，定位到每个磁盘的根目录下，选中病毒文件9m2ke.exe和Autorun.inf后，点击右键选择“直接删除”。然后定位到病毒主文件所在的System32目录下，选中病毒文件Amvo.exe和Amvo0.dll，并点击右键选择“直接删除”即可。 　　第三步：点击Wsyscheck中的“安全检查”标签中的“活动文件”，在列表中选择病毒启动项Amvo.exe后，点击右键选择“修复所选项”。最后调出系统修复工具SREng(下载地址/soft/utilitie/systems/327/440327.shtml )，点击“系统修复→高级修复”，再点击“自动修复”即可恢复被病毒破坏的系统。 　　最后重新安装杀毒软件，升级病毒库到必威体育精装版版本，再进行全盘查杀，将病毒残留物彻底清除干净。