跳至主內容

Conficker 蠕蟲肆虐全球,百萬電腦淪陷

發佈日期: 2009年02月02日 4056 觀看次數

前言


踏入 2009 年,一種名叫 Conficker 蠕蟲 (又名 Downadup 或 Kido) 即以旋風式席捲全球,據防毒軟件公司估計全球已經超過百萬台電腦受感染[註: 1], 是近幾年最大規模電腦感染事故,對上一次的類似爆發事故要追溯到 2004 年 Sasser 蠕蟲[註: 2]。 香港電腦保安事故協調中心至今只接收到一個 Conficker 蠕蟲的感染報告,我們會密切觀察它發展的情況。

Conficker.A 蠕蟲

 

首次發現 Conficker 蠕蟲 (Conficker.A) 是在2008 年11 月下旬 [註: 3], 主要透過攻擊未有安裝微軟視窗 MS08-067 [註: 4] 漏洞修補程式的電腦來進行感染。這個漏洞會影響視窗系統 2000、XP、2003、Vista 和 2008。惡意程式分析員發現這個變種會判斷被感染的電腦是來自那個國家,如果是來自烏克蘭便不會繼續傳播。這個特性令人懷疑蠕蟲的作者正是位于烏克蘭。據防毒軟件公司資料,估計當時感染數目約為五十萬台電腦 [註: 5]。

 

Conficker.B 蠕蟲

 

在2008 年12 月尾發現了Conficker 蠕蟲的新變種 Conficker.B,除了攻擊微軟視窗漏洞外,還新增了以下的傳播途徑:

  1. 蠕蟲會尋找網絡上的 ADMIN $ 共享資料夾,利用自訂密碼列表嘗試以管理員 (Administrator)帳戶進行連接, 若該電腦帳戶沒有設定密碼或密碼比較簡陋,它就可以自動複製到這部電腦。
  1. 當蠕蟲偵測到外置儲存裝置,例如 USB 快取記憶手指,記憶卡和外置硬碟等,連接到已受感的電腦,它會自動複製到該外置儲存裝置。 若受感染的外置儲存裝置連接到其他電腦,它會利用視窗系統的自動執行功能而即時進行感染。

加入這兩種傳播方法後,對於公司網絡影響尤其加深。通常公司網絡對於外來連接都有一道防火牆把關,所以攻擊內部電腦的視窗系統 RPC 漏洞的方法都無法奏效。但當一部受感染的電腦或外置儲存裝置進入內部網絡,如果防毒軟件無法即時偵測這個新的變種,便可立即蔓延至整個網絡。

 

蠕蟲對電腦的影響

 

當電腦感染 Conficker.B 蠕蟲後會對系統造成以下影響[註: 6,7]:

  1. 關閉檢視隱藏的檔案和資料夾;
  2. 變更系統的 TCP/IP 連接上限參數;
  3. 停止視窗系統的多個服務,包括:
 
  • Windows Security Center Service
  • Background Intelligence Transfer Service
  • Windows Defender
  • Error Reporting Service
  • Windows Error Reporting Service
  1. 嘗試終止與保安相關的程序和禁止存取保安網站,目的可能是令電腦無法更新軟件資料庫和存取有關保安資料;
  2. 重設系統還原點;
  3. 從 2009 年1 月1 日開始,連接到一個隨機產生的網址下載檔案。目的可能是更新蠕蟲版本或接受一些命令指示;
  4. 在一個隨機連接埠上執行 HTTP 伺服器程式,利用 ”回接 (call back)” 方式接收那些可以被成功攻擊 MS08-067 漏洞的電腦的回應,然後將蠕蟲檔案傳送給它;
  5. 從遠端建立一個排定的工作來定時啟動電腦上的蠕蟲檔案;
  6. 在受感染的磁碟代號上建立一個隱藏資料夾 Recycler 來儲存蠕蟲檔案 ;
  7. 停止視窗 Vista 的TCP/IP 自動優化功能;
  8. 修補 MS08-067 漏洞內的 API 功能,目的可能是令其他惡意程式無法再使用這個漏洞 。

 

如何計算受感染的電腦數目

 

由於 Conficker 蠕蟲每日會隨機產生250 新的域名,並且會嘗試連接到這些域名所產生的網址。因此,芬蘭防毒軟件公司 F-secure 嘗試分析域名產生方程式,掌握到產生方法後就開始預先登記部份域名並建立一個黑洞系統來接收蠕蟲產生的網絡通訊,透過監視這些通訊來獲得來源的IP 地址,從而估計受感染的電腦數目。

 

現時大部份新聞媒體都採用由 F-secure 所提供的受感染的電腦統計數字。 截止 2009 年 1 月 16日,估計感染數字超過890 萬[註: 8,9],但是這種計算方法仍然有不足的地方,例如:計算了重覆感染的電腦。

 

疆屍網絡的威脅

 

雖然 Conficker 蠕蟲暫時還沒有造成任何嚴重破壞, 但保安專家都十分關注感染了 Conficker 蠕蟲的電腦所組織的一個龐大疆屍網絡所帶來的威脅[註: 10]。由於蠕蟲每日都產生大量新的域名和連結到這個域名所產生的網址,若有人成功登記了該域名後就可能建立一個系統來控制這個疆屍網絡,例如發送垃圾郵件、進行阻斷服務攻擊等。到目前為止,受感染的電腦並未接受過任何指令,只發現有部份隨機產生域名與偽冒防毒軟件有關,所以蠕蟲作者意圖何在仍然未明。

 

清除Conficker 蠕蟲步驟

 

若你的電腦已感染 Conficker 蠕蟲,可以依照以下步驟進行清除:

  1. 將受感染的電腦從網絡中隔離;
  2. 微軟的 MSRT 工具程式已經能清除 Conficker 蠕蟲。詳細使用方法,請參考:http://www.microsoft.com/taiwan/security/articles/msrt0114.mspx

 

預防感染Conficker 蠕蟲

 

要預防電腦感染 Conficker 蠕蟲,可以執行以下步驟 :

  1. 立即為網絡上的所有電腦安裝 MS08-067 的保安修補程式;
  2. 為網絡上的電腦上的所有帳戶和檔案共享設定一個較強的密碼;
  3. 如非必要,請關閉電腦上的自動執行功能,詳細步驟,請參考微軟的指引 [註: 11];
  4. 檢查你的防毒軟件是否運作正常和可以更新病毒資料庫。

 

總結

 

現時製作這些惡意程式已趨向專業和注重利益,攻擊者會採用不同渠道感染電腦,而且被感染後的電腦可能與平常無異,令人難以偵測。這次Conficker 蠕蟲大規模的感染爆發都是由欠缺安裝修補程式、簡陋密碼設定和外置儲存裝置的管理等三方面問題所引起。其中安裝修補程式方面,根據 Qualys 公司的研究資料[註: 12]顯示約有三成電腦仍然未安裝MS08-067 的修補程式,而受蠕蟲感染比率最高的幾個國家,包括中國、俄羅斯和印度等國家正正是盜版軟件問題較嚴重的國家,由於盜版關系而無法自動更新系統上的漏洞。至於經外置儲存裝置而感染的 Autorun 類型病毒,是近年常見傳播方法,我們需要監管外置儲存裝置的使用和留意視窗系統的自動執行的設定。

 

參考資料

  1. http://www.theregister.co.uk/2009/01/26/conficker_botnet/
  2. http://www.hkcert.org/chinese/valert/virus/2004/w32.sasser.worm.html
  3. http://blogs.technet.com/mmpc/archive/2008/11/25/more-ms08-067-exploits.aspx
  4. http://www.microsoft.com/taiwan/technet/security/bulletin/MS08-067.mspx
  5. https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/230
  6. http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B
  7. http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=76852
  8. http://www.f-secure.com/weblog/archives/00001584.html
  9. http://www.f-secure.com/weblog/archives/00001589.html
  10. http://www.theregister.co.uk/2009/01/16/9m_downadup_infections/page2.html
  11. http://support.microsoft.com/kb/953252
  12. http://www.theregister.co.uk/2009/01/19/conficker_worm_feed/