飞客蠕虫

2024年3月7日发(作者：)

查杀“飞客蠕虫病毒”的方法

发表时间:2011-3-8 11:49:47

浏览次数:596

双击自动滚屏

接省厅通知，发现社保中心、医保中心、驻西安南路大楼各单位、邳州人保局、睢宁人保局、沛县人保局网络已经感染了飞客蠕虫病毒，现在将相关专杀工具上传，希望各位外网使用用户主动下载该软件主动查杀。

Conficker，也被称作Downup，Downadup或Kido，Conficker蠕虫最早于2008年11月20日被发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。迄今已出现了A、B、C、E四个版本，目前全球已有超过1500万台电脑受到感染。Conficker主要利用Windows操作系统MS08-067漏洞来传播，同时也能借助任何有USB接口的硬件设备来感染。

这个蠕虫利用的是一个已知的被用于windows 2000，windows xp，windows vista，windows

server2003和windows server 2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。

一、被感染症状：

帐户锁定政策被自动复位。

某些微软Windows服务会自动禁用，如自动更新，后台智能传输服务（BITS ），WindowsDefender和错误报告服务。

域控制器对客户机请求回应变得缓慢。

系统网络变得异常缓慢。这可以从检测的网络流量图和windows任务管理器中看出。

与杀毒软件，windows系统更新有关的网站无法访问。

发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。

二、检测方法：

检测网址1：/infection_test/

（注：如果点击该网页看不到图片或图片不全，说明该电脑已被感染,请下载专杀工具进行查杀）

检测网址2：/fileadmin/user_upload/werner/cfdetector/

(注：点击该网页显示绿色的钩说明没有被感染）

注：如果你的主机感染了“飞客”病毒，需要协助，请拨打局信息中心电话：85805744

局域网扫描方法：下载最新版nmap扫描工具，地址：/admin/upload/ 安装完成后运行nmap程序，在命令栏“Command：”后输入“nmap -p 139,445 -T4 -v -n -Pn --script smb-check-vulns 地址段 ”地址段的格式例如某1台:

192.16.0.22 某1段: 192.168.0.0/24

以下是10.73.141.244的扫描结果，可以看到Conficker: Likely INFECTED (by Conficker.C or

lower) 表明已经被感染了。

Nmap scan report for 10.73.141.244

Host is up (0.00s latency).

PORT STATE SERVICE

139/tcp open netbios-ssn

445/tcp open microsoft-ds

Host script results:

| smb-check-vulns:

| MS08-067: NOT VULNERABLE (likely by Conficker)

| Conficker: Likely INFECTED (by Conficker.C or lower)

| regsvcDoS: CHECK DISABLED (add ’--script-args=unsafe=1’ to run)

| SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add ’--script-args=unsafe=1’ to run)

| MS06-025: CHECK DISABLED (remove ’safe=1’ argument to run)

|_ MS07-029: CHECK DISABLED (remove ’safe=1’ argument to run)

三、部分查杀工具：

1、 /downloads/utils/(下载卡巴斯基“飞客”专杀)

2、 /(下载360顽固木马专杀)

四、防范措施：

利用360安全卫士等工具及时打好各种漏洞补丁。

安装杀毒软件，并及时下载更新，对系统进行全盘扫描杀毒。

给系统尤其是管理员用户设置较复杂的密码。

在使用U盘前应尽量开启具有U盘防火墙功能的安全软件。

不要随意执行未知的程序文件。

不访问有害信息网站，不随意下载/安装可疑插件，并检查IE的安全级别是否被修改。