Conficker蠕虫的分析与防范

2024年3月27日发(作者：)

蠕虫的分析与防范　

（国家计算机网络应急技术处理协调中心广东分中心，广东广州５１００００）　

一～～一确啡一　～一枷　触一～一委～鹏；　

王宜阳，刘家豪　

０引言　

自从２００８年１０月Ｃｏｎｆｉｃｋｅｒ蠕虫被首次发现以来，该病毒就在安全业界引起了轩然大波，黑客通过该蠕虫在极短时间内控　

制了百万互联网终端用户资源，甚至一度风传在２００９年４月１号会出现全球性的网络攻击，引起全球恐慌，让人不禁回想起了　

当年的“千年虫”。　

根据国家计算机网络应急技术处理协调中心（以下简称ＣＮＣＥＲＴ／ＣＣ）的监测统计显示，至２００９年４月３０口，短短几个月时间，　

全球就已经有超过７８４万个主机ＩＰ感染，其中，中国排名第一，占全球感染主机数的２０．８２％。２００９年下半年，我国Ｃｏｎｆｉｃｋｅｒ　

蠕虫感染主机数量占全球比例有小幅下降，但绝对数量仍高居不下，月均监测到我国有１８００余万个主机ＩＰ被感染　感染蠕虫　

ｌＰ的主机数量按国家分布，前三名分别是中国、美国和巴西，国内按省份分布，前ｉ名分别是广东、河北和浙江。　

１　Ｃｏｎｆｉｃｋｅｒ蠕虫概述与原理　

Ｃｏｎｆｉｃｋｅｒ，也被称作Ｄｏｗｎｕｐ，Ｄｏｗｎａｄｕｐ或Ｋｉｄｏ，中文翻译“飞客”，Ｃｏｎｆｉｃｋｅｒ蠕虫最早于２００８年１　１月２０　１３被发现，它以　

微软的ｗｉｎｄｏｗｓ操作系统为攻击目标。迄今已出现了Ａ、Ｂ、Ｂ＋＋、Ｃ、Ｅ五个版本，目前全球已有超过１５００万台电脑受到感染。　

病毒原理：Ｃｏｎｆｉｃｋｅｒ蠕虫主要是借助闪存、利用微软的ＭＳ０８—０６７漏洞进行传播的。当Ｃｏｎｆｉｃｋｅｒ病毒进入系统后，首先破　

坏系统中的默认属性设置，接着会自动搜索局域网内有漏洞的其他电脑，一旦发现有存在漏洞的计算机系统，就会激活该漏洞　

并同感染系统创建连接，最后进行远程感染。　

２　Ｃｏｎｆｉｃｋｅｒ蠕虫的版本演变　

以下的时间轴显示关于Ｃｏｎｆｉｃｋｅｒ蠕虫病毒发展的大事件：　

２００８年１　１月２１日一一Ｗ０ｒｍ：Ｗｉｎ３２／Ｃｏｎｆｉｃｋｅｒ．Ａ被发现，主要特征包括：利用ＭＳ０８—０６７漏洞；对ＤＮＳ挂接，防止感染机　

器连接到安全站点；每天连接到伪随机产生的２５０个域名试图与蠕虫制造者通信；采用１０２４位ＲＳＡ数字证书的ＭＤ５。　

２００８年１２月２９日一～ｗｏｒｍ：Ｗｉｎ３２／Ｃｏｎｆｉｃｋｅｒ．Ｂ被发现（距离Ｃｏｎｆｉｃｋｅｒ．Ａ发现时间仅为３８天，它与Ｃｏｎｆｉｃｋｅｒ．Ａ的差别　

在于：通过ＴＣＰ／４４５的网络传播病毒感染；可移动磁盘传播（Ｕ盘）；每天连接到伪随机生成另外２５０个域名；ＭＤ６散列与　

４０９６　ｂｉｔ　ＲＳＡ的数字认证。　

２００９年２月２０日一一ｗｏｒｍ：Ｗｉｎ３２／Ｃｏｎｆｉｃｋｅｒ．Ｂ＋＋被发现（距离Ｃｏｎｆｉｃｋｅｒ．Ｂ的发现时间为５３天ｏ　Ｃｏｎｆｉｃｋｅｒ．Ｃ变种与　

Ｃｏｎｆｉｃｋｅｒ．Ｂ的不同之处在于：利用ＭＳ０８—０６７漏洞的点对点通信。　

２００９年３月４日一一ｗｏｒｎｌ：Ｗｉｎ３２／Ｃｏｎｆｉｃｋｅｒ．Ｃ被发现（距离Ｃｏｎｆｉｃｋｅｒ．Ｂ发现日期为６５天）．其特征包括：从２００９年４月１　

口　

作者简介：王宜阳（１９８２一），男，硕士研究生，主要研究方向：网络安全；刘家豪（１９８４一），男，本科，主要研究方向：网络安全　

Ｉ　７４　

２０１Ｏ．１Ｏ　

日起每天从随机产生的５００００个中随机选取５００个主机名连　

结果显示１７２．１６．０．１这台主机感染　Ｔ　Ｃｏｎｆｉｃｋｅｒ（ｂ／ｃ）病毒。　

接；与其他感染Ｃｏｎｆｉｅｋｅｒ．Ｃ的机器进行点对点通信。　

２００９年４月８　Ｈ　Ｗｏｒｍ：Ｗｉｎ３２／Ｃｏｎｆｉｃｋｅｒ．Ｅ被发现，显　

４．２清除方法　

１）使用Ｗ３２．Ｄｏｗｎａｄｕｐ（Ｃｏｎｆｉｃｋｅｒ蠕虫）移除Ｔ具：　

（１）ＥＳＥＴＷｉｎ３２／ＣｏｎｆｉｅｋｅｒＷｏｒｍＲｅｍｏｖａｌＴｏｏｌ；（２）Ｓｏｐｈｏｓ　

著特征为：在一个１０２４—９９９９之间的伪随机端口打开一个　

Ｗｅｂ侦听器，随机数基于系统盘的分区序列号；在一台已感　

染ｆｌ＜Ｊ＠ＪＬ器上，Ｃｏｎｆｉｃｋｅｒ．Ｅ变种会和已有的Ｃｏｎｆｉｃｋｅｒ．Ｃ同步执行。　

公司发布的Ｃｏｎｆｉｃｋｅｒ蠕虫病毒专杀工具；（３）赛门铁克公司　

发布的Ｗ３２．Ｄｏｗｎａｄｕｐ（Ｃｏｎｆｉｃｋｅｒ）专杀工具；（４）Ｂｉｔｄｅｆｅｎｄｅｒ　

发布的Ｃｏｎｆｉｃｋｅｒ（Ｄｏｗｎａｄｕｐ／Ｋｉｄｏ）蠕虫专杀一［具的网络版；（５）　

卡巴斯基ＫＩＤＯ专杀工具（Ｄｏｗｎａｄｕｐ／ｃｏｎ　Ｐｋｅｒ）。　

２）手动移除Ｃｏｎｆｉｃｋｅｌ－蠕虫：　

（１）禁用系统还原（Ｗｉｎｄｏｗｓ　Ｍｅ中／ＸＰ中）；（２）更新的　

３　Ｃｏｎｆｉｃｋｅｒ蠕虫的危害　

３．１针对计算机终端用户安全的危害　

账户锁定政策被自动复位，某些微软Ｗｉｎｄｏｗｓ服务会自动　

禁用，如自动更新，后台智能传输服务（ＢＩ１＇Ｓ），ＷｉｎｄｏｗｓＤｅｆｅｎｄ．ｅｒ　

和错误报告服务；删除系统还原点；自动下载恶意程序文件；　

系统网络变得异常缓慢；域控制器对客户机请求回应变得缓　

慢；阻止用户访问与安全相关的网站，并且能够终止操作系统　

自身以及第三方安全软件的服务；发起暴力密码破解攻击管　

理员密码，以帮助它穿越并扩散到管理员共享。　

病毒定义；（３）执行完整的系统扫描；（４）删除任何值添加到　

注册表中。　

５蠕虫的预防措施　

５．１下载最新Ｃｏｎｆｉｃｋｅｒ免疫补丁　

ｈｔｔＰ：／／ｗｗＷ．ｍｉＣ　ｒｏ　ｓｏｆｔ．Ｃ０ｍ／ｄ０Ｗ　ｎ１ｏ　ａｄ　ｓ／ｄｅｔａｉｌ　Ｓ．　

ａｓｐｘ？ｄｉｓｐｌａｙｌａｎｇ＝ｚｈ—ｃｎ＆ＦａｍｉｌｙＩＤ＝０ｄ５ｆ９ｂ６ｅ一９２６５—４４ｂ９一　

ａ３７６－２０６７ｂ７３ｄ６ａ０３　

３．２针对整个互联网安全的危害　

Ｃｏｎｆｉｃｋｅｒ蠕虫各个变种的传播，已经形成一个包括几百　

上千万级别被控主机的攻击平台，无疑是一个潜伏着的“网络　

核武器”，不仅能够被用于大规模的网络欺诈、信息窃取或者　

发布垃圾邮件，而且能够被利用发动无法阻挡的大规模拒绝　

服务攻击，甚至可能成为有力的信息站工具。　

支持的操作系统：Ｗｉｎｄｏｗｓ　ＸＰ　Ｓｅｒｖｉｃｅ　Ｐａｃｋ　２；Ｗｉｎｄｏｗｓ　

ＸＰ　Ｓｅｒｖｉｃｅ　Ｐａｃｋ　３　

ｈｔｔＰ：／／ｗＷＷ．ｍｉ　ｃ　ｒＯ　ＳＯｆｔ．ＣＯＩｎ／ｄＯＷｎｌｏａｄ　ｓ／ｄｅｔａｉｌ　ｓ．　

ａｓｐｘ？ｄｉｓｐｌａｙｌａｎｇ＝ｚｈ—ｃｎ＆ＦａｍｉｌｙＩＤ－－ｆ２６ｄ３９５ｄ－２４５９－４ｅ４０－　

４技术检测与清除方法　

４．１技术检测　

１）网址检测：用户可以通过以下网址来检测是否中　

毒，　检测网址为：ｈｔｔｐ：／／ｗｗｗ．ｃｏｎｆｉｃｋｅｒｗｏｒｋｉｎｇｇｒｏｕｐ．ｏｒｇ／　

ｉｎｆｅｃｔｉｏｎｔｅｓｔ／ｃｆｅｙｅｃｈａｒｔ．ｈｔｍｌ。　

—

８ｃ９２－３ｄｅ１ｃ５２ｃ３９０ｄ　

Ｗｉｎｄｏｗｓ　Ｓｅｒｖｅｒ　２００３　Ｓｅｒｖｉｃｅ　Ｐａｃｋ　１；Ｗｉｎｄｏｗｓ　Ｓｅｒｖｅｒ　２００３　

Ｓｅｒｖｉｃｅ　Ｐａｃｋ　２　

５。２局域网内阻止Ｃｏｎｆｉｃｋｅｒ病毒传播的方案应该优先　

采用ＡＤ策略　

１）强制ＡＤ中所有客户机禁用除ＣＤＲＯＭ之外的所有磁　

盘自动运行功能；２）拒绝客户机使用弱口令登录；３）配置　

Ｗｉｎｄｏｗｓ　ｕｐｄａｔｅ或采用第ｉ方漏洞修补方案，全网扫描修复系　

统漏洞；４）客户机最好关闭ｉｐｃ￥共享。　

上面网页通过图表的形式，检查用户机器是否中了　

Ｃｏｎｆｉｃｋｅｒ蠕虫，如果发现受感染了，会有部分图片无法正常显　

示。根据下面的图标说明，可以迅速定位到具体是感染了哪　

类Ｃｏｎｆｉｃｋｅｒ变种。　

２）用Ｃｏｎｆｉｃｋｅｒ扫描器扫描自己的所在的局域网是否　

有机器中了Ｃｏｎｆｉｃｋｅｒ，１＝具下载：ｈｔｔｐ：／／ｗｗｗ．ｍｃａｆｅｅ．ｃｏｍ／ｕｓ／　

６结束语　

从Ｃｏｎｆｉｃｋｅｒ蠕虫版本的整个演变来看，其作者不仅具有　

非常高深的互联网编程技术、丰富的密码学知识，还在反调　

试、反跟踪方面具有极强的造诣，并且对Ｗｉｎｄｏｗｓ内核有相　

ｅｎｔｅｒｐｒｉｓｅ／ｃ０ｎｆｉｃｋｅｒｔｅｓｔ．ｈｔｍｌ检查界面如图１。　

当的把控能力。比如，当最先进的ＭＤ６加密算法公开不久后，　

Ｃｏｎｆｉｃｋｅｒ作者就把这种算法应用到Ｂ变种中，利用Ｗｉｎｄｏｗｓ　

ＭＳ０８—０６７缓冲溢出漏洞打开缺口，用混淆技术和强禁安全服　

务来隐藏和保护自己，利用各种加密和最新的散列技术来保　

护并控制已感染　‘肉鸡”。随着Ｃｏｎｆｉｃｋｅｒ蠕虫的演变和感染，　

图１　Ｃｏｎｆｉｃｋｅｒ扫描器检查界面　

其潜在的危害性进一步增大，比起已造成的危害，可能造成　

的潜在危害更让人担心。蟹（责编岳逍远）　

从图ｌ可以看到，该工具对两台局域网的机器进行扫描，　

７５　ｌｌ　…