locked
Windwos 7 怎麼也會中:Win32/Conficker.D RRS feed

  • 問題

  • 日期:2012/12/18[二] 發現
    OS: Windows 7 Professional CHT x86,x64 with 12/13 hotfix (ALL)

    狀況:
       Microsoft Security Essentials (Virus code:2012/12/18 17:00 update) 發現Win32/Conficker.D一直在廣播傳送

    此木馬應該是只會感染Windows XP而利用Windows tasks 去廣播 at1.job ,並寫入登錄檔:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule\AtTaskMaxHours:
    0x00000048

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\AtTaskMaxHours:
    0x00000048

    但我發現若未設隔離,Win7 Professional 它其實也是有寫到登錄檔,且有立即複製.job 至tasks,是否為最新的廣播型virus ?

    2012年12月18日 上午 09:22

解答

  • 這個病毒可真是惡夢...因為我的環境也曾經中過, 而且Win7確實可以受感染, 網上的資料不盡正確

    很多聲稱能解決的防毒軟件也不能完全解決問題, 它不只會寫登錄檔複製at1.job, 而且還會不讓你進行Windows Update和去微軟的網頁...

    基本上就算你在一台機器把它清除, 你很快就會再次受感染 (我的經驗是如果把防火牆打開會好一點)

    只要網絡環境有一台機出現Conficker.D 很快就會遍地開花...而且已經把所有要求的Update Patch都補上了...

    由於最後我都束手無策, 但發現一套名為malwarebytes的軟件清除得最徹底 http://www.malwarebytes.org/

    但它不是Server/Client模式的配置軟件, 所以我們要在所有電腦上安裝, 再全部在拔掉網線的情況下做一次掃瞄清除

    完成後一起重新啟動電腦, 事件才告一段落...當時我們一共百多部主機..真是一場惡夢,,,


    邊幫助, 邊鍛鍊



    • 已編輯 Justin Lau - Hong Kong 2012年12月18日 上午 09:53
    • 已提議為解答 AChange 2012年12月24日 上午 06:02
    • 已標示為解答 AChange 2012年12月25日 上午 07:49
    2012年12月18日 上午 09:43

所有回覆

  • 或者這個二register 設定(AtTaskMaxHours)只是Windows 預設的參數?!
    2012年12月18日 上午 09:36
  • 這個病毒可真是惡夢...因為我的環境也曾經中過, 而且Win7確實可以受感染, 網上的資料不盡正確

    很多聲稱能解決的防毒軟件也不能完全解決問題, 它不只會寫登錄檔複製at1.job, 而且還會不讓你進行Windows Update和去微軟的網頁...

    基本上就算你在一台機器把它清除, 你很快就會再次受感染 (我的經驗是如果把防火牆打開會好一點)

    只要網絡環境有一台機出現Conficker.D 很快就會遍地開花...而且已經把所有要求的Update Patch都補上了...

    由於最後我都束手無策, 但發現一套名為malwarebytes的軟件清除得最徹底 http://www.malwarebytes.org/

    但它不是Server/Client模式的配置軟件, 所以我們要在所有電腦上安裝, 再全部在拔掉網線的情況下做一次掃瞄清除

    完成後一起重新啟動電腦, 事件才告一段落...當時我們一共百多部主機..真是一場惡夢,,,


    邊幫助, 邊鍛鍊



    • 已編輯 Justin Lau - Hong Kong 2012年12月18日 上午 09:53
    • 已提議為解答 AChange 2012年12月24日 上午 06:02
    • 已標示為解答 AChange 2012年12月25日 上午 07:49
    2012年12月18日 上午 09:43
  • 我現在的狀況是Windows 7 因為都有安裝 Microsoft Security Essentials ,所以一直有隔離,但這個木馬會廣播,所以Microsoft Security Essentials 一直出現訊息而隔離
    若我按下「允許」或「略過」, .job 檔案就會自動跑進來自己的電腦 !!
    怎麼會有這樣的事呢!?  自動穿過windows 網芳的認證?
    ◎註:我不能用firewall去關網芳,因為我是企業用戶,有Windows AD!

    反觀Windows XP Professional 卻沒有這個狀況!
    而Win8 也沒有此狀況。

    我的Win7 是可以線上update + 看網頁的。

    是否這個新木馬是專攻Windows 7 的呢!?


    • 已編輯 阿寶 2012年12月18日 上午 10:00
    2012年12月18日 上午 10:00
  • 那就是說是網域中其他電腦中了病毒, 不斷嘗試攻擊你

    如果你截取網絡訊息的技術夠好..可以用Wireshark看看攻擊從那裡來

    我好像從Trend Micro那邊有讀過這病毒有破解密碼的能耐...

    而且它具有重複感染的特徵, 所以除非你一次過瑣定所有目標電腦再作同時間清除, 

    不然它會一直存在...


    邊幫助, 邊鍛鍊

    2012年12月18日 上午 10:24
  • Conficker.D 從各大防毒軟體來看,它算是有一點年紀的virus ,理論上微軟的hotfix 都修復了,不可能直接進得來的呀!!

    而Tend Micro 說的有破解密碼的能耐,是因為它有「密碼字典」檔,但我的Password 不在那個字典檔內,利用暴力破解法,且我的密碼有#$%^ 這種符號,更能被猜中
    加上我的是Windows AD ,有GPO限制密碼錯誤次數會鎖,不可能被暴力破解法猜中。

    但現在仍有上百台的電腦有收到這個問題,是否微軟有發現這個問題了呢!? 是否又是一個新的漏洞未出hotfix 所造成的!?

    2012年12月19日 上午 05:16
  • 我想這個不算新問題了, 因為上次我這邊的入侵已是1年前, 不過確實現在是可以阻擋入侵, 我說是阻擋, 但好像沒有完全能夠清除病毒

    我想你的環境還是有些電腦沒完全更新吧? (其實個人還是覺得微軟沒有完全修復入侵的漏洞..缺口仍在...)


    邊幫助, 邊鍛鍊

    2012年12月19日 上午 06:00
  • 我有WSUS 加在 Windows AD 中,比例為99% ,另1%是 .net framework ,所以確定是全update重大更新了!

    改推到微軟客服問看看好了!

    2012年12月19日 上午 06:52
  • 如果你能用微軟的方式解決請告之, 這個病毒仍然是一大懸案...

    邊幫助, 邊鍛鍊

    2012年12月19日 上午 07:22
  • 病毒玩家是會改版的...


    論壇是網友平等互助 保證解答請至 微軟技術支援服務


    提問時,錯誤情境描述與錯誤訊息很重要,情境描述包含你做了什麼,預期的結果與實際發生的結果。一個最爛的問法範例:「我的電腦電腦怎麼不能開機?」誰知道你家是不是沒電還是你根本找不到電源鈕。

    2012年12月20日 下午 03:04
  • Title: Microsoft Security Bulletin Re-Releases
    Issued: December 20, 2012

    今一早03:00 我的WSUS Server 有Get到微軟有出新的hotfix ,並利用AD GPO 傳播給所有的OS,不過無效,仍有收到此病毒,似乎這個hotfix 不是在解決此問題:

    Microsoft Security Bulletin MS12-078 - 重大

    Windows 核心模式驅動程式中的資訊安全風險可能會允許遠端執行程式碼 (2783534)

    偵測到的Win32/Conficker.B     (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Worm%3aWin32%2fConficker.B&threatid=2147618124)

    類別: 蠕蟲

    描述: 此程式非常危險,並且會透過網路連線自我傳播。

    建議的動作: 立即移除此軟體。

    項目:
    taskscheduler:C:\Windows\Tasks\At1.job
    file:C:\Windows\System32\lzujnslx.xb
    file:C:\Windows\Tasks\At1.job

    另一個:

    類別: 蠕蟲

    描述: 此程式非常危險,並且會透過網路連線自我傳播。

    建議的動作: 立即移除此軟體。

    項目:
    file:C:\Windows\System32\lzujnslx.xb

    2012年12月21日 上午 05:37
  • MSE 會偵測到 Win32/Conficker.D,
    有可能是你所處的網路環境中有這個蠕蟲的攻擊行為模式,
    而且根據微軟的文件來看,不是只有 XP 連Vista 也是會中的:關於 Win32/Conficker 蠕蟲的病毒警訊

    其他版本的作業系統沒看到警訊並不一定代表沒事,
    還是建議參考 Justin Lau 的方法,
    從 Server 及 Client 全部斷開網路或者先開啟防火牆方式去檢查並清除。

    妥善做好安全性更新並不代表一定都沒事,
    因為有些病毒是可以將系統檔覆蓋或修改,進而產生漏洞。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2012年12月21日 上午 06:53
  • 是否有方法快速的找到在廣播的電腦?(中毒者)

    2012年12月21日 上午 07:15
  • 如果公司的網路交換器有監控流量或廣播封包的功能,
    有可能稍微容易找出有哪些中毒,
    但蠕蟲攻擊就跟感冒一樣,
    一堆人都感冒時,很難找出到底帶原者是誰,
    只能建議先隔離把問題處理好,
    不然治好了 A,一接上網路又可能被 B 或 C 傳染。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2012年12月21日 上午 07:45
  • 目前得知的是沒有一台有中毒的,因為全被防毒軟體給阻擋下來了。

    但我的問題其實仍繞在「是作業系統放virus進來的」,如果作業系統沒放virus 進來,那我的每一台電腦根本就不會收到virus ,相對的也不會有警告了。
    因:作業系統放virus 進來

    果:被防毒發現而隔離

    這樣就能確認作業系統是安全的,如此才有時間再去用網路找到「中毒者」或「放毒者」,畢竟要從300多台中找到中毒者,不是一件易事。

    ◎註:我發現我的案例不太像「廣播」,因為若為廣播,理論上應該是每一台同網段的PC/NB都會收到,但事實只有特定區域IP的電腦有收到。

    2012年12月21日 上午 07:57
  • https://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Conficker.D

    微軟的百科全書中有提到

    Win32/Conficker.D opens four ports on each available network interface. It opens two TCP and two UDP ports. The port numbers of the first TCP and UDP ports are calculated based on the IP address of the network interface. The second TCP and UDP ports are calculated based on the IP address of the network interface as well as the current week, leading to this second set of ports to change on a weekly basis. 

    所以它不是靠廣播來散播的, 是用一套以日期來算的IP來組成攻擊名單


    邊幫助, 邊鍛鍊

    2012年12月21日 上午 08:11
  • 目前得知的是沒有一台有中毒的,因為全被防毒軟體給阻擋下來了。

    但我的問題其實仍繞在「是作業系統放virus進來的」,如果作業系統沒放virus 進來,那我的每一台電腦根本就不會收到virus ,相對的也不會有警告了。
    因:作業系統放virus 進來

    果:被防毒發現而隔離

    這樣就能確認作業系統是安全的,如此才有時間再去用網路找到「中毒者」或「放毒者」,畢竟要從300多台中找到中毒者,不是一件易事。

    ◎註:我發現我的案例不太像「廣播」,因為若為廣播,理論上應該是每一台同網段的PC/NB都會收到,但事實只有特定區域IP的電腦有收到。

    作業系統「放」病毒進來?說是使用者誤安裝或者在外面受到感染的說法可能比較正確。

    假使公司內都沒有人中毒,那在內網發起攻擊的是?


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2012年12月21日 上午 10:25
  • 目前已知:

    (1)default gateway 防毒閘道沒發現任何的virus , 也就是說這個virus 只在我的LAN1 class C 跑,且不是經由廣播,是逐一P2P的從背影去感染。

        如果它有送給我的default gateway , 我早就可知道它在哪個IP ,MAC address 了。

    (2)使用者未執行任何安裝程式而c:\windows\tasks 裡就會出現at.job 了-->這就是我所說的,是作業系統放它進來的,就像是被人用網芳貼上檔案一樣。

    (3)AD GPO有限制全體無法安裝任何軟體(除WSUS Server 所送出來的hotfix , service pack),所以100%確認非使用者的行為。

    (4)全部的電腦都有安裝Microsoft 防毒,當(2)的狀況發生時,就會出現訊息告知使用者。

    2012年12月21日 下午 12:36
  • 你的 switch 不是使用網管型的嗎?

    直接從網管型的 switch 去設規則或是做鏡像撈封包,兇手很快就可以鎖定從哪個網孔來。


    論壇是網友平等互助 保證解答請至 微軟技術支援服務


    提問時,錯誤情境描述與錯誤訊息很重要,情境描述包含你做了什麼,預期的結果與實際發生的結果。一個最爛的問法範例:「我的電腦電腦怎麼不能開機?」誰知道你家是不是沒電還是你根本找不到電源鈕。

    2012年12月21日 下午 04:06
  • 我曾遇過的病毒攻擊模式,
    中毒的電腦看不出症狀,但實際上有一支隱藏無威脅性的免安裝小程式在其中幕後執行,
    透過可存取網際網路的方式,
    向外部的伺服器下載到可再擴展攻擊的軟體,
    病毒並不一定走安裝程序才能執行,
    使用者上網甚至收郵件都可能誤將這支前導小程式給放在系統裡,
    甚至將系統檔案狸貓換太子。

    還是建議先試著用網路隔離的方式,
    並且可以利用微軟 Process Monitor 去觀察是否有異常程式在執行。

    另外,如果你們公司全部都安裝的是微軟的 MSE,
    印象中,MSE 安裝時的授權說明上有載明僅適用家庭及小型企業,
    可能要再確認一下是否有誤用的狀況。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2012年12月21日 下午 04:19
  • 目前已知:

    (1)default gateway 防毒閘道沒發現任何的virus , 也就是說這個virus 只在我的LAN1 class C 跑,且不是經由廣播,是逐一P2P的從背影去感染。

        如果它有送給我的default gateway , 我早就可知道它在哪個IP ,MAC address 了。

    (2)使用者未執行任何安裝程式而c:\windows\tasks 裡就會出現at.job 了-->這就是我所說的,是作業系統放它進來的,就像是被人用網芳貼上檔案一樣。

    (3)AD GPO有限制全體無法安裝任何軟體(除WSUS Server 所送出來的hotfix , service pack),所以100%確認非使用者的行為。

    (4)全部的電腦都有安裝Microsoft 防毒,當(2)的狀況發生時,就會出現訊息告知使用者。

    也有可能你的Gateway根本沒有知覺這病毒的存在噢...反正很多防火牆都是用linux內核的, 也沒有受侵入的風險...

    如果那台電腦已經會製造at1.job, 那很肯定它內部仍然會受感染, 這檔案是由受感染的Windows產生的, 不是外來電腦放入的. at1.job是最明顯的受感染症狀!

    如果你想測試一下...應該很簡單, 就把這台電腦拔掉網絡, 開機一兩天, 看看有沒有at1.job就可以了


    邊幫助, 邊鍛鍊

    2012年12月24日 上午 03:17
  • 努力做此項中,可惜我們的內網流量總是350Mbps,一錄就錄得很大!! 要過濾很多封包 ~ 累!

    另同時設強迫於12/24 由WSUS 送給全PC/NB client 更新,希望確認全沒有漏洞後再行追踨

    2012年12月25日 上午 02:12
  • 已開gateway 的LAN 網芳防毒功能(屬IDP,會浪費LAN上的頻寬),目前已未發現任何的木馬與病毒!

    PS.另在開啟geteway 網芳防毒功能前,有將常收到virus的電腦拔掉網路線單機跑2日正常,再接入網路時就被攻,所以應仍為LAN上有木馬或人為放毒!


    • 已編輯 阿寶 2012年12月25日 上午 05:48
    2012年12月25日 上午 05:46
  • 我的經驗這類型都是成對的,甚至3隻一體,至少一隻攻擊,一隻負責下載,若有第三隻是接受遠端遙控。

    一般防毒或是偵防只會幹掉攻擊的那隻。

    最簡單的是在斷網下,安裝一台乾淨的 OS ,上網不要做任何網頁瀏覽,只要監看流量即可,乾淨的是不會中獎的。

    封包流量大又不是只有你家,公司都馬這樣,一區區分別隔離過濾即可。


    論壇是網友平等互助 保證解答請至 微軟技術支援服務


    提問時,錯誤情境描述與錯誤訊息很重要,情境描述包含你做了什麼,預期的結果與實際發生的結果。一個最爛的問法範例:「我的電腦電腦怎麼不能開機?」誰知道你家是不是沒電還是你根本找不到電源鈕。

    2012年12月25日 下午 03:10