快速解決 Win32/Conficker.Gen Worm 討人厭的病毒

Win32/Conficker.Gen worm 相關說明
Conficker蠕蟲傳播主要通過運行windows系統的服務器服務的緩衝區漏洞。它使用特定的RPC請求在目標電腦上執行代碼。當在一台電腦中成功執行，它會禁用一些系統服務，比如windows系統更新，windows安全中心，windowsdefender和 windows錯誤報告。然後他會連接一個服務器，在那裡他會接到進一步傳播的命令，收集個人信息，和下載安裝附加的惡意程序到受害人的計算機中。它還會把自己添加到必然會有的windows活動進程中，像是svchost.exe，explorer.exe和services.exe。

Conficker變種將會創建一個Http服務器並打開一個1024到10000之間的隨機端口。如果遠程機被利用成功的情況下，受害者將會連接這個http服務器並下載一個病毒副本。它將會重置系統還原點並下載文件到目標計算機。變種蠕蟲會自行破解使用簡單密碼的網路分享，然後將惡意程式複製到網路分享資料匣之後，再感染其他使用者。此外，也會嘗試透過可攜式儲存設備（如USB）擴大感染範圍。

症狀

感染Conficker病毒的主機將無法訪問與殺毒軟件，安全技術社區、windows系統更新有關的網站無法訪問。
感染後，該病毒會自動關閉其利用的 Windows漏洞，這也導致殺毒軟件無法分辨哪些電腦下載了合法的微軟補丁程序，哪些是感染了Conficker。帳戶鎖定政策被自動復位，某些微軟 Windows服務會自動禁用，如自動更新，後台智能傳輸服務（BITS ）， WindowsDefender 和錯誤報告服務。域控制器對客戶機請求回應變得緩慢。
系統網絡變得異常緩慢。這可以從檢測的網絡流量圖和windows任務管理器中看出。
另外它發射暴力密碼破解攻擊管理員密碼以幫助它穿越並擴散到管理員共享。最好是把密碼更換成更好的。

以上文章出處部分擷取 http://labors3cweb.pixnet.net/blog/post/27166410

UnhideWhenUsed="false" QFormat="true" Name="Normal" /> UnhideWhenUsed="false" QFormat="true" Name="heading 1" /> Name="heading 2" /> Name="heading 3" /> Name="heading 4" /> Name="heading 5" /> Name="heading 6" /> Name="heading 7" /> Name="heading 8" /> Name="heading 9" /> Name="caption" /> UnhideWhenUsed="false" QFormat="true" Name="Title" /> Paragraph Font" /> UnhideWhenUsed="false" QFormat="true" Name="Subtitle" /> UnhideWhenUsed="false" QFormat="true" Name="Strong" /> UnhideWhenUsed="false" QFormat="true" Name="Emphasis" /> UnhideWhenUsed="false" Name="Table Grid" /> Name="Placeholder Text" /> UnhideWhenUsed="false" QFormat="true" Name="No Spacing" /> UnhideWhenUsed="false" Name="Light Shading" /> UnhideWhenUsed="false" Name="Light List" /> UnhideWhenUsed="false" Name="Light Grid" /> UnhideWhenUsed="false" Name="Medium Shading 1" /> UnhideWhenUsed="false" Name="Medium Shading 2" /> UnhideWhenUsed="false" Name="Medium List 1" /> UnhideWhenUsed="false" Name="Medium List 2" /> UnhideWhenUsed="false" Name="Medium Grid 1" /> UnhideWhenUsed="false" Name="Medium Grid 2" /> UnhideWhenUsed="false" Name="Medium Grid 3" /> UnhideWhenUsed="false" Name="Dark List" /> UnhideWhenUsed="false" Name="Colorful Shading" /> UnhideWhenUsed="false" Name="Colorful List" /> UnhideWhenUsed="false" Name="Colorful Grid" /> UnhideWhenUsed="false" Name="Light Shading Accent 1" /> UnhideWhenUsed="false" Name="Light List Accent 1" /> UnhideWhenUsed="false" Name="Light Grid Accent 1" /> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 1" /> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 1" /> UnhideWhenUsed="false" Name="Medium List 1 Accent 1" /> Name="Revision" /> UnhideWhenUsed="false" QFormat="true" Name="List Paragraph" /> UnhideWhenUsed="false" QFormat="true" Name="Quote" /> UnhideWhenUsed="false" QFormat="true" Name="Intense Quote" /> UnhideWhenUsed="false" Name="Medium List 2 Accent 1" /> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 1" /> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 1" /> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 1" /> UnhideWhenUsed="false" Name="Dark List Accent 1" /> UnhideWhenUsed="false" Name="Colorful Shading Accent 1" /> UnhideWhenUsed="false" Name="Colorful List Accent 1" /> UnhideWhenUsed="false" Name="Colorful Grid Accent 1" /> UnhideWhenUsed="false" Name="Light Shading Accent 2" /> UnhideWhenUsed="false" Name="Light List Accent 2" /> UnhideWhenUsed="false" Name="Light Grid Accent 2" /> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 2" /> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 2" /> UnhideWhenUsed="false" Name="Medium List 1 Accent 2" /> UnhideWhenUsed="false" Name="Medium List 2 Accent 2" /> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 2" /> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 2" /> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 2" /> UnhideWhenUsed="false" Name="Dark List Accent 2" /> UnhideWhenUsed="false" Name="Colorful Shading Accent 2" /> UnhideWhenUsed="false" Name="Colorful List Accent 2" /> UnhideWhenUsed="false" Name="Colorful Grid Accent 2" /> UnhideWhenUsed="false" Name="Light Shading Accent 3" /> UnhideWhenUsed="false" Name="Light List Accent 3" /> UnhideWhenUsed="false" Name="Light Grid Accent 3" /> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 3" /> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 3" /> UnhideWhenUsed="false" Name="Medium List 1 Accent 3" /> UnhideWhenUsed="false" Name="Medium List 2 Accent 3" /> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 3" /> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 3" /> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 3" /> UnhideWhenUsed="false" Name="Dark List Accent 3" /> UnhideWhenUsed="false" Name="Colorful Shading Accent 3" /> UnhideWhenUsed="false" Name="Colorful List Accent 3" /> UnhideWhenUsed="false" Name="Colorful Grid Accent 3" /> UnhideWhenUsed="false" Name="Light Shading Accent 4" /> UnhideWhenUsed="false" Name="Light List Accent 4" /> UnhideWhenUsed="false" Name="Light Grid Accent 4" /> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 4" /> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 4" /> UnhideWhenUsed="false" Name="Medium List 1 Accent 4" /> UnhideWhenUsed="false" Name="Medium List 2 Accent 4" /> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 4" /> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 4" /> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 4" /> UnhideWhenUsed="false" Name="Dark List Accent 4" /> UnhideWhenUsed="false" Name="Colorful Shading Accent 4" /> UnhideWhenUsed="false" Name="Colorful List Accent 4" /> UnhideWhenUsed="false" Name="Colorful Grid Accent 4" /> UnhideWhenUsed="false" Name="Light Shading Accent 5" /> UnhideWhenUsed="false" Name="Light List Accent 5" /> UnhideWhenUsed="false" Name="Light Grid Accent 5" /> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 5" /> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 5" /> UnhideWhenUsed="false" Name="Medium List 1 Accent 5" /> UnhideWhenUsed="false" Name="Medium List 2 Accent 5" /> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 5" /> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 5" /> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 5" /> UnhideWhenUsed="false" Name="Dark List Accent 5" /> UnhideWhenUsed="false" Name="Colorful Shading Accent 5" /> UnhideWhenUsed="false" Name="Colorful List Accent 5" /> UnhideWhenUsed="false" Name="Colorful Grid Accent 5" /> UnhideWhenUsed="false" Name="Light Shading Accent 6" /> UnhideWhenUsed="false" Name="Light List Accent 6" /> UnhideWhenUsed="false" Name="Light Grid Accent 6" /> UnhideWhenUsed="false" Name="Medium Shading 1 Accent 6" /> UnhideWhenUsed="false" Name="Medium Shading 2 Accent 6" /> UnhideWhenUsed="false" Name="Medium List 1 Accent 6" /> UnhideWhenUsed="false" Name="Medium List 2 Accent 6" /> UnhideWhenUsed="false" Name="Medium Grid 1 Accent 6" /> UnhideWhenUsed="false" Name="Medium Grid 2 Accent 6" /> UnhideWhenUsed="false" Name="Medium Grid 3 Accent 6" /> UnhideWhenUsed="false" Name="Dark List Accent 6" /> UnhideWhenUsed="false" Name="Colorful Shading Accent 6" /> UnhideWhenUsed="false" Name="Colorful List Accent 6" /> UnhideWhenUsed="false" Name="Colorful Grid Accent 6" /> UnhideWhenUsed="false" QFormat="true" Name="Subtle Emphasis" /> UnhideWhenUsed="false" QFormat="true" Name="Intense Emphasis" /> UnhideWhenUsed="false" QFormat="true" Name="Subtle Reference" /> UnhideWhenUsed="false" QFormat="true" Name="Intense Reference" /> UnhideWhenUsed="false" QFormat="true" Name="Book Title" /> /> Name="TOC Heading" /> p;quot;,"sans-serif";" lang="EN-US">Win32/Conficker.Gen worm 感染方式說明圖

以上圖片出處為:http://www.microsoft.com/taiwan/security/articles/msrt0114.mspx

NOD32 攔截到的相關病毒散佈訊息

2011/1/16 下午 18:59:50 – 病毒程式警告在USER-1中執行的IMON – 網絡監視器：http://192.168.1.55:6005/thuop 感染了病毒：a variant of Win32/Conficker.X worm。
2011/1/16 下午 18:59:52 – 病毒程式警告在USER-18中執行的AMON – 實時防護：C:\WINDOWS\System32\hrzvfu.c 感染了病毒：a variant of Win32/Conficker.Gen worm。
2011/1/4 下午 16:24:19 – 病毒程式警告在USER-27中執行的IMON – 網絡監視器：http://192.168.1.1:6094/lrmq 感染了病毒：Win32/Conficker.AA worm。

由於日前公司的NOD32瘋狂的大量跳出攔截到病毒的訊息，大約每一分鐘有五六台電腦遭受感染，因此緊急的研究傳染的方式與病毒之工作原理，經過實際測試發現NOD32 的確是有攔截到該病毒的散佈所以才會主動跳出訊息，但是一日沒找到源頭所有使用著的電腦將會瘋狂跳出相關訊息，這點對用者而言是一大困擾，也會造成挨踢人員的負擔，因此努力上網找尋相關網路上的資料，並測試各大廠商釋出的解毒工具之後，發現其 Win32/Conficker.Gen worm 變種病毒非常的狡猾，經過測試發現卡巴斯基所推出的解毒工具能有效根除已感染病毒之電腦，但是該病毒是利用系統漏洞來散佈的，因此只要補釘一日沒上，此狀況依然存在，病毒依然持續在區網內瘋狂感染其他電腦。

解決方式

將系統漏洞補上，請下載MS08-067 ， MS08-068 ，MS09-001相關補丁(依照系統別來下載您需要的補釘版本)，補完之後請重新開機。
前往http://www.kaspersky.com/virus-removal-tools 下載 KidoKiller 掃毒工具，並進行掃毒。
掃毒完畢之後重新開機即可完成整個動作。

經過以上的處理應該就可以讓徹底杜絕 Win32/Conficker.Gen worm 這隻討厭的蠕蟲了，如果您感染的電腦數量過多，建議搭配GPO讓使用者登入網域的時候直接進行系統更新與系統掃描，再讓使用者登入電腦，不然真的一台一台跑會跑死人吧。Leo 把自己做的網域登入自動更新系統漏洞與掃毒的批次檔修改成單機執行的版本，有興趣的朋友可以自行下載，或者直接執行即可完成上系統補釘與解毒之動作。

軟體下載與安裝方式(轉貼請註明來源與出處，並遵循CC條款約定)
軟體名稱：Conficker.Gen.exe
版本說明：無
適用版本：Windows XP SP3、Windows 2000 SP4
軟體下載：Conficker.Gen.exe
軟體說明：