【51CTO.com 綜合消息】日前，根據冠群金辰公司全球病毒監測網統計，Win32.conficker系列蠕蟲的各個變體在我國都有發現，而且染毒用戶數也在不斷增加，感染對象主要集中在局域網用戶中，個人用戶相對感染較少。鑒于近期感染Conficker蠕蟲病毒的企業用戶增多，冠群金辰公司建議企業用戶盡快采取以下防護措施，減少病毒在內網的進一步傳播：

◆在網絡終端及服務器：

1、首先，檢查系統漏洞。針對其利用系統漏洞的傳播特點，需要用戶檢查系統是否安裝了KB958644 系統補丁。用戶可以利用漏洞掃描工具進行檢測，也可以在系統的添加/刪除中查看（要選擇“顯示更新”）。

2、給賬戶設置強口令。對于企業局域網用戶應管理好每個系統的帳號，杜絕賬號的空口令，并給管理員組賬號設置強壯的密碼。同時，避免建立無限制的共享目錄。這些可以通過終端管理系統進行管理與維護，如：KILL終端安全管理系統。

3、安裝反病毒軟件。在每個終端節點安裝反病毒程序，如：KILL反病毒軟件，并將KILL升級到最新版本，以便抵御病毒感染。

◆在網絡層：

在網絡邊界處部署網關防毒類產品，如：KILL防病毒網關。在網絡出口處或各局域網中間安裝網關防病毒產品，攔截病毒的攻擊包（在此就是針對ms08-067漏洞的探測包），并阻斷病毒可能建立的P2P連接及后門連接，在網絡層對病毒感染及相關行為進行阻斷。

 Conficker蠕蟲病毒介紹：

4月1日，Conficker病毒沒有按預警所言在全球大爆發，3個月過去了，該病毒漸漸被人們淡忘，但是，根據冠群金辰公司反病毒中心的跟蹤，Conficker病毒并未終結，它的變體還在不斷更新，而且也不斷有用戶感染的案例發生。

Win32.conficker系列蠕蟲的最早版本于2008年11月左右被發現，從最初的Win32.conficker到最新的Win32.conficker.D已經出現5種變體。到目前為止，此病毒的全球感染量以上千萬計。最初在歐洲和北美地區流行較廣并造成較大危害。在我國，此病毒的各個變體也不斷有發現，感染對象主要集中在局域網用戶中。

Win32.conficker病毒出現以來，不斷產生新變體，傳播方式也不斷變化，最新Win32.conficker.D可以通過以下三種方式傳播：

1，利用系統漏洞

Conficker系列蠕蟲的各個變體都會利用MS08-067漏洞進行傳播。此漏洞是08年底左右公布的windows系統高危漏洞，隨后微軟發布了修復補丁KB958644。病毒會發送特殊的RPC請求，使得未打補丁的系統執行病毒代碼最終導致感染。

2，通過網絡共享傳播

Conficker.B和.D的變體會通過Windows 文件共享進行傳播。它會使用自帶的密碼字典嘗試猜測管理員賬號密碼，訪問任意可利用的網絡共享(IP\ADMIN$\system32)。因此，如果本地管理員賬號的口令設置為空或比較簡單則會很容易被病毒感染。這也是管理不嚴格的局域網被廣泛感染的主要原因。

3，通過點對點傳播

Win32.Conficker.D會利用病毒的點對點協議感染被Conficker的其它變體感染的計算機。黑客利用這個操作進行病毒程序更新，并同時制造自己的“僵尸網絡”以便對感染系統進行進一步的控制。

電腦系統感染Win32.conficker病毒后，可能會產生以下危害：

1，刪除系統還原點

Conficker.C和D兩種變體會刪除被感染機器上所有的系統還原點。

2，使服務失效

Win32.conficker.B之后的變體會搜索某些系統服務，如：安全中心（wscsvc）、自動更新（wuauserv）等，如果這個服務正在運行，蠕蟲就會使這個服務失效：

3，后門功能

大部分的Win32.conficker變體都有建立后門的功能。通過打開從1024 到 9999之間的任意一個端口，在被感染機器上啟動一個HTTP服務器。蠕蟲利用網內的Simple Service Discovery Protocol （SSDP）協議，在網絡中搜索網關設備，例如路由器和交換機。隨后它發送一個SOAP命令請求到相應設備上，并配置它，允許惡意程序打開端口訪問外網。

4，終止進程

Win32.conficker.C和.D的變體會終止很多進程，這些進程大多是與安全相關的工具，其目的是保護自己不被發現/清除。

5，阻止訪問安全網站

Win32/Conficker.D 阻止訪問帶有指定URL字符串的站點，這些站點都是與病毒有關的安全站點，這樣做可以阻止反病毒程序更新病毒庫。

6，下載并運行任意文件

Win32/Conficker.B和.C的變體對時間有判斷，如果當前系統日期是2009年4月1日或者之后的日期，蠕蟲就會訪問預先計算的域名地址，下載一個更新的病毒文件或者下載其它惡意文件。