|
||||
近期Conficker蠕蟲再次出現新變種,在全球已經感染了超過數千萬臺電腦。新的變種國外稱之為Conficker B++,該病毒是2月16日由SRI國際的研究人員檢測到的。對於一般技術人員而言,這個變種與之前的版本幾乎相同。然而,這個B++變種使用了新的技術來下載軟件,這樣蠕蟲制作者就能更靈活利用被感染的機器,同時對機器發送垃圾郵件或信息,記錄擊鍵,或發起DoS攻擊其他機器等。
對於以往的Conficker蠕蟲病毒,國際上盛行的Conficker Cabal反病毒小組可以有效的阻止病毒發生。他們通過破解Conficker尋找其代碼更新點的算法來控制這一蠕蟲。使這些網址指向類似於pwulrrog.org這樣的網址,避免落入犯罪分子手中。然而新的B++變種使用同樣的方式尋找更新點,但是制作人使用了兩種新的技術以跳過他們,這樣Cabal小組的方法就被繞過了。
墨者安全專家截獲的Conficker蠕蟲新樣本後發現,病毒一般通過Windows系統的一個漏洞進行傳播,微軟雖然陸續發布了該漏洞的補丁但是Conficker仍可通過移動存儲如U盤、移動硬盤等進行傳播,同時還包括網絡共享的方式進行傳播。不過該病毒作者也相應對病毒進行一些修改,在去年12月進行了一次大的重寫,並發布變種B。但是最新的B++又做了一次重大的改變。以前變種B中有297個函數,B++中則新增了29個函數並修改了原有的3個,因此新變種能避免使用互聯網的更新點。
上圖為Conficker蠕蟲B和B++工作流程圖,在第一代和第二代病毒中,用戶可以使用墨者安全專家的免疫革離術防御一些病毒感染的關鍵步驟,從而達到徹底防御Conficker蠕蟲的作用,圖一中紅色部分為墨者免疫革離術阻止的關鍵步驟,因此當用戶在開啟墨者免疫革離術時,Conficker蠕蟲是無法運行的,如圖二所示:
墨者安全專家提醒廣大網民,為了防止Conficker蠕蟲變種感染並通過移動存儲傳播不斷給電腦下載惡意軟件,用戶需要及時昇級系統漏洞補丁,同時及時打開墨者免疫革離術阻止該病毒的運行。
墨者免疫革離術下載地址: http://www.mozhe.com/dl/