如何找出Conficker/Worm_Downad.AD 病毒的寄主電腦
大家好, 這星期在自己公司的網內發現防毒軟體警告擋下了一個叫Conficker / Worm_Downad.ad 的病毒
但在出現警示的電腦上用各式各樣的防毒軟體掃瞄也說沒有找到病毒.
而網絡上出現警告的電腦卻越來越多, 要與病毒作時間競賽.
因為這個病毒會在網絡內每小時+幾分鐘的時間向網絡內的電腦進行一次攻擊.
如果有安裝防毒軟體的電腦, 應該能順利阻截病毒入侵, 但始終不能根治問題
微軟有為這個病毒寫了一份詳盡的資料文章:
http://www.microsoft.com/security/pc-security/conficker.aspx
它的攻擊多數是從受感染的可移動設備插上網絡內的電腦開始發生的,
他會有能力偵測到Domain Administrator的帳號密碼, 從而用網域最高權限來產生入侵
是非常高傳染性的病毒, 如果電腦沒有安裝防毒軟體, 很快就能淪陷整個環境.
而受影響的電腦將不能向微軟進行更新, 也不能接駁到大部份防毒軟體公司的網站.
在電腦的排程工作上會出現大量叫作 at1.job , at2.job …等等的工作, 直到電腦癱瘓.
在網絡上有稱它為史上最強病毒之說…
而很多防毒軟體公司也有提供專門針對這個病毒的移除程式在緊急時應用
例如
Bitdefender: http://www.bdtools.net/
AVG-Free: http://free.avg.com/ww-en/remove-conficker
Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
TrendMicro: 連結有點長
建議先下載安家之用, 以免中毒後不能連上防毒軟體公司時不能下載.
工具有了, 而且可以說, 那一家的產品都真的能除去病毒, 但假如網絡內的電腦多如星數,
這真的要花點工夫來找出真凶, 最大問題是多數被攻擊的電腦卻不是宿主.
病毒的攻擊是從網絡來的, 而且只要還有一台電腦擁有病毒, 除毒後的電腦很快又會被入侵.
但我發現有一個小技巧能非常準確地定位宿主電腦
先在被攻擊的電腦上以上面提供的程式掃瞄病毒是不是宿主, 假如不是
查看被攻擊的時間, 通常是每隔一小時多4~7分鐘就會被攻擊一次.
及後開啟這台電腦的Event Viewer, 打開Windows Log, 安全性紀錄
篩選紀錄編號ID 5140的事件
比對被攻擊的時間, 會找到非常吻合的事件
病毒會先入侵 \\*\ADMIN$ 這個隱藏分享目錄, 而且會使用某位網域內擁有Admin權限的帳號來登入
而從Source Address就可知道是從那一台電腦上來的, 這樣找出宿主電腦有非常高的命中率
但網絡內可能有多台宿主電腦, 所以要參考很多台被攻擊的電腦, 找出宿主攻擊的頻率 (每隔一小時多4~7分鐘)
才能逐個找出來, 用除毒程式來清除, 補上更新和防毒軟體掃瞄檔來防禦被重新入侵的機會.
微軟有提供很詳細 (很長…) 的除毒步驟, 但我的感覺, 要全部做一次實在極費時間
我建議重方便的步驟是 ---
1. 在宿主電腦上先放入除毒程式
2. 拔掉網絡線
3. 以除毒程式作重啟除毒, 並保持下線 (因為它一上線就可能被其他宿主感染)
4. 找出網絡內其他宿主, 再做1,2,3的步驟
5. 直到沒有任何電腦出現感染徵狀, 把電腦全部上線進行更新