近期Conficker蠕虫再次出现新变种,在全球已经感染了超过数千万台电脑。新的变种国外称之为Conficker B++,该病毒是2月16日由SRI国际的研究人员检测到的。对于一般技术人员而言,这个变种与之前的版本几乎相同。然而,这个B++变种使用了新的技术来下载软件,这样蠕虫制作者就能更灵活利用被感染的机器,同时对机器发送垃圾邮件或信息,记录击键,或发起DoS攻击其他机器等。
对于以往的Conficker蠕虫病毒,国际上盛行的Conficker Cabal反病毒小组可以有效的阻止病毒发生。他们通过破解Conficker寻找其代码更新点的算法来控制这一蠕虫。使这些网址指向类似于pwulrrog.org这样的网址,避免落入犯罪分子手中。然而新的B++变种使用同样的方式寻找更新点,但是制作人使用了两种新的技术以跳过他们,这样Cabal小组的方法就被绕过了。
墨者安全专家截获的Conficker蠕虫新样本后发现,病毒一般通过Windows系统的一个漏洞进行传播,微软虽然陆续发布了该漏洞的补丁但是Conficker仍可通过移动存储如U盘、移动硬盘等进行传播,同时还包括网络共享的方式进行传播。不过该病毒作者也相应对病毒进行一些修改,在去年12月进行了一次大的重写,并发布变种B。但是最新的B++又做了一次重大的改变。以前变种B中有297个函数,B++中则新增了29个函数并修改了原有的3个,因此新变种能避免使用互联网的更新点。
(图一 Conficker蠕虫变种工作流程图)
上图为Conficker蠕虫B和B++ 工作流程图,在第一代和第二代病毒中,用户可以使用墨者安全专家的免疫革离术防御一些病毒感染的关键步骤,从而达到彻底防御Conficker蠕虫的作用,图一中红色部分为墨者免疫革离术阻止的关键步骤,因此当用户在开启墨者免疫革离术时,Conficker蠕虫是无法运行的,如图二所示:
(图二 墨者免疫革离术阻止Conficker蠕虫运行)
墨者安全专家提醒广大网民,为了防止Conficker蠕虫变种感染并通过移动存储传播不断给电脑下载恶意软件,用户需要及时升级系统漏洞补丁,同时及时打开墨者免疫革离术阻止该病毒的运行。
墨者免疫革离术下载地址: http://www.mozhe.com/dl/
