Win32.Worm.Downadup
2008年12月23日Microsoft 发布了严重的安全公告MS08-067,微软至今只有2次是提前发布补丁的,一个是ANI漏洞补丁,另一个就是MS08-067安全补丁,说明问题还是比较严重的。此次漏洞出现在服务器服务中,该漏洞可能允许远程执行代码 (958644),攻击者可能未经身份验证即可利用此漏洞运行任意代码,此漏洞可能用于进行蠕虫攻击,防火墙最佳配置和标准的默认配置有助于保护网络资源免受病毒从企业外部发起的攻击。 目前已发现此类病毒有Win32.Worm.Downadup病毒,“扫荡波”病毒亦属此类病毒,据说其危害性不亚于冲击波病毒,还没有安装此更新的朋友就要赶快安装了,未雨绸缪才能避免损失和减少不必要的麻烦。我单位的局域网也已被此病毒占领了大半江山,中毒机器动弹不得,杀毒软件光叫而不能杀之。
据报道,Win32.Worm.Downadup病毒已开始肆虐整个互联网,它利用新的手法——Windows RPC服务器的一个安全漏洞来传播,截止到2009年01月19日,在不超过两个星期的时间里已有数以百万计的Windows电脑受感染。显然,有几种不同类型的野生Downadup在运行,该算法创建的域名有变化的变种,该蠕虫病毒也被称为Conficker或马基斯,蠕虫病毒首次出现在11月下旬,利用此漏洞在局域网之间不受阻碍地传播。执行时,Wn32.Worm.Downadup试图下载一个版本的著名的“防病毒XP的”无赖。 微软及时发布了安全漏洞的补丁,但许多用户还没有安装它,使他们在打开便携式USB闪存驱动器时感染了该蠕虫病毒。
2008年12月底, BitDefender实验室发现了一个新版本的蠕虫病毒名为Win32.Worm.Downadup.B 。具体来说,该蠕虫使用USB拇指驱动器来感染其他计算机,并创建一个Autorun.inf文件在根文件夹中,当自动运行功能启用,该蠕虫会自动执行。某些TCP连接功能也被阻止,病毒会过滤包含安全相关的网站地址的字符串,以至不能连接这里网站,据BitDefender说,这使得它难以消除,因为关于它的资料几乎是不可能从被感染的计算机收集, 更重要的是,此蠕虫删除所有的访问权限的用户,但除执行的情况外,使其达到保护自身的目的。
中毒症状:局域网内多台机子出现文件名为X的win32.downadup病毒,该病毒位于system32目录下,故障现象为单机网络中断,重启系统后正常十几分钟,然后中断现象又再出现,甚至会死机,同时杀毒软件会报IE缓存文件夹下有随机名称的jpg bmp gif 文件有毒,甚至会报system32目录下的svchost.exe有毒。