Conficker蠕虫的分析与防范.docx

??

?

??

Conficker蠕虫的分析与防范

?

?

?

?

?

??

?

?

?

王宜阳，刘家豪

（国家计算机网络应急技术处理协调中心广东分中心，广东广州510000）

摘要：Conficker（飞客）蠕虫自从现身于互联网后，迅速在全球蔓延，数以百万计的主机lP受到感染。本文主要调研了安全界对Conficker蠕虫的分析报告，结合CNCERT／CC监测数据以及日常实际处置经验，对Conficker蠕虫现状作了简要介绍，并给出一种简捷且有效的检测方法与安全加固建议，让广大网民提高安防意识，做好安全加固，以免成为黑客的“帮凶”。

关键词：Conficker蠕虫；变种；检测；安全加固

TP393.08：A

0引言

自从2008年10月Conficker蠕虫被首次发现以来，该病毒就在安全业界引起了轩然大波，黑客通过该蠕虫在极短时间内控‘制了百万互联网终端用户资源，甚至一度风传在2009年4月1号会出现全球性的网络攻击，引起全球恐慌，让人不禁回想起了当年的“千年虫”。

根据国家计算机网络应急技术处理协调中心（以下简称CNCERT/CC）的监测统计显示，至2009年4月30日，短短几个月时间，全球就已经有超过784万个主机lP感染，其中，中国排名第一，占全球感染主机数的20.82%。2009年下半年，我国Conficker[来自wwW.lw5u.coM]蠕虫感染主机数量占全球比例有小幅下降，但绝对数量仍高居不下，月均监测到我国有1800余万个主机lP被感染。感染蠕虫lP的主机数量按国家分布，前三名分别是中国、美国和巴西，国内按省份分布，前三名分别是广东、河北和浙江。1Conficker蠕虫概述与原理

Conficker[来自www.LW5u.coM]，也被称作Downup，Downadup或Kido，中文翻译“飞客”，Conficker蠕虫最早于2008年11月20日被发现，它以微软的wlndows操作系统为攻击目标。迄今已出现了A、B、B++、C、E五个版本，目前全球已有超过1500万台电脑受到感染。

病毒原理：Conficker蠕虫主要是借助闪存、利用微软的MS08-067漏洞进行传播的。当Conficker病毒进入系统后，首先破坏系统中的默认属性设置，接着会自动有哪些信誉好的足球投注网站局域网内有漏洞的其他电脑，一旦发现有存在漏洞的计算机系统，就会激活该漏洞并同感染系统创建连接，最后进行远程感染。2Conficker蠕虫的版本演变

以下的时间轴显示关于Conficker蠕虫病毒发展的大事件：

2008年11月21日--Worm:Win32/Conficker.A被发现，主要特征包括：利用MS08-067漏洞；对DNS挂接，防止感染机器连接到安全站点；每天连接到伪随机产生的250个域名试图与蠕虫制造者通信；采用1024位RSA数字证书的MD5。

2008年12月29日--Worm:Win32/Conficker.B被发现（距离Conficker.A发现时间仅为38天，它与Conficker．A的差别在于：通过TCP/445的网络传播病毒感染；可移动磁盘传播（U盘）；每天连接到伪随机生成另外250个域名；MD6散列与4096bitRSA的数字认证。

2009年2月20日-Worm:Win32/Confir,ker．B++被发现（距离Conficker．B的发现时间为53天）。Confirker．C变种与Conficker．B的不同之处在于：利用MS08-067漏洞的点对点通信。

2009年3月4日-Worm:Win32/Conficker．C被发现（距离Conficker．B发现日期为65天），其特征包括：从2009年4月l日起每天从随机产生的50000个中随机选取500个主机名连接；与其他感染Conficker.C的机器进行点对点通信。

2009年4月8日-Worm:Win32/Conficker.E被发现，显著特征为：在一个1024-9999之间的伪随机端口打开一个Web侦听器，随机数基于系统盘的分区序列号；在一台已感染的机器上，Conficker.E变种会和已有的Conficker.C同步执行。

3Conficker蠕虫的危害

3.1针对计算机终端用户安全的危害

账户锁定政策被自动复位，某些微软Windows服务会自动禁用，如自动更新，后台智能传输服务(BITS)，WindowsDefender和错误报告服务；删除系统还原点；自动下载恶意程序文件；系统网络变得异常缓慢；域控制器对客户机请求回应变得缓慢；阻止用户访问与安全相关的网站，并且能够终止操作系统自身以及第三方安全软件的服务；发起暴力密码破解攻击管理员密码，以帮助它穿越并扩散到管理员共享。3.2针对整个互联网安全的危害

Conficker蠕虫各