2009年1月14日 星期三

針對近期的Conficker 蠕蟲,微軟今天發佈最新的版本惡意軟體移除工具

反應: 

Microsoft Taiwan Corporation 台灣微軟公司 回溯到 Oct. 23, 2008 微軟緊急發佈了重大安全性更新: MS08-067,在發佈重大更新的當時,少量且獨立的攻擊事件已經被發現;因此當時微軟強烈建議盡快完成更新程序。

在接下來的一個月內,微軟的緊急應變中心持續追蹤發現到少量木馬程式(Trojans)出現在網路上,並利用這樣安全弱點的對疏於警覺的使用者開始進行攻擊。而同一時間首隻利用該安全弱點的蠕蟲 Win32/Conficker 現身,並且開始對未完成更新的使用者進行較為大規模的感染。

在過去的幾個星期中,微軟的緊急應變中心追蹤到 Win32/Conficker 的變種蠕蟲產生並且開始影響相當數量的使用者,我們定名為 Worm:Win32/Conficker.B

這隻新的變種蠕蟲除了原先會對還沒有完成安裝重大安全性更新:MS08-067 的用戶造成影響外,它同時利用其他多種方式進行攻擊行為;

譬如會自行破解使用薄弱密碼的網路分享(如1111),然後將惡意程式複製到網路分享資料匣再感染其他使用者,同時間發現這隻新的變種蠕蟲也嘗試透過可攜式儲存設備(如USB)擴大感染範圍,並影響已經完成更新 MS08-067 的用戶。

這隻惡意程式透過多層次的偽裝與設計,企圖妨礙現行安全產品(如防毒軟體)的偵測與分析;而這樣的設計造成也的確造成,在清除 Worm:Win32/Conficker.B時相當的困難且不易徹底清除。

Worm:Win32/Conficker.B 發作時,它會置換掉以下機碼中的存取權限, HKLM\SYSTEM\CurrentControlSet\Services,同時間修改本機的存取控制清單 (Access Control List),只允許本機帳號可以存取,增加管理者遠端進行協助清除的困難度,便於後續其他惡意行為的進行,而針對這些伴隨蠕蟲攻擊產生的檔案,該蠕蟲會自動進行鎖定用來躲避任何可能性的存取,偵測分析甚至防毒軟體的清除行為。

在過去的幾個星期中,我們也同時間接獲相當數量從世界各地而來,不管是因為還沒有完整且落實的安裝 MS08-067,或是大量的使用檔案/網路共享而遭到感染的支援申請。

因此為了協助廣大使用者更有效的徹底清Conficker;微軟特別在本月份發佈的 MSRT 惡意軟體移除工具(Microsoft Windows Malicious Software Removal Tool)加入了針對已知該蠕蟲與其變種的清除方式,來協助始使用者進行全面性徹底的清除。

我們建議採取以下的修正步驟來進行,以便於完整的清除 Win32/Conficker 的感染

步驟一: 務必完成重大安全更新 MS08-067 的安裝;
步驟二: 緊接著修改所有電腦上共享資料匣的密碼(請注意使用符合密碼複雜性原則,如採用數字文字混雜的密碼,像是A1H6,以避免過於簡單的密碼遭蠕蟲破解);
步驟三: 最後請執行下載 MSRT 惡意軟體移除工具 來進行徹底的清除工作。

由於在某些案例中,我們發現 Win32/Conficker 會阻斷Windows Update的網路存取,因此建議管理/使用者可以手動下載,並且將下載後的工具放置於限制寫入的儲存空間,再分享給其他電腦進行後續的清除動作。

在 KB 891716 中,微軟提供了如何在企業內部有效利用MSRT清除以及完整的預防措施。詳細資訊請參閱以下連結

The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Vista, Windows Server 2003, Windows XP, or Windows 2000
http://support.microsoft.com/kb/890830

Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise environment:
http://support.microsoft.com/kb/891716

引用來源