W32.Downadup.B

W32.Downadup.B
病毒通告：W32.Downadup.B 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行
 擴散，請勿開啟任何可疑連結並請儘速安裝微軟 MS08-067 更新檔！
風險等級：中度威脅
摘 要： 近日防毒軟體廠商賽門鐵克及趨勢科技追蹤到利用微軟MS08-067 弱點的
 變種蠕蟲正在網路上大量散播，並且影響到眾多微軟視窗作業系統的使用
 者，偵測到的病毒名稱分別為W32.Downadup.B及WORM_DOWNAD.AD。
 若使用者尚未至微軟網站進行修補MS08-067 弱點，則會有感染此蠕蟲之
 風險，一但系統被攻擊成功，將會被建立一惡意系統服務於開機時自動啟
 動該蠕蟲程式，接下來會繼續攻擊其他未修補微軟MS08-067 弱點的電腦。
影響系統： Windows 95/ 98/ Me / NT/ 2000 / XP / 2003 / Vista
解決辦法： 若不慎執行惡意檔案，建議處理方式如下：
 1、關閉系統還原功能 (Windows Me/ XP)
 2、更新病毒碼定義檔到最新
 3、執行全系統掃瞄
 4、如使用賽門鐵克或趨勢科技之防毒軟體，請檢視掃描結果是否出現
 W32.Downadup.B 或 WORM_DOWNAD.AD 病毒名稱
 5、如確實感染上述之蠕蟲病毒，下載解毒工具網址：
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=WORM_DOWNAD.AD
 6、修補 MS08-067 弱點之下載網址：
http://www.microsoft.com/taiwan/technet/security/Bulletin/MS08-067.mspx
細節描述：利用微軟 MS08-067 弱點的變種蠕蟲正在網路上大量散播，並且影響到眾多
 微軟視窗作業系統的使用者，偵測到的病毒名稱分別為 W32.Downadup.B
 及 WORM_DOWNAD.AD。此變種蠕蟲會進行破解弱密碼的網路分享，並
 且將惡意程式複製到網路分享資料匣後，再繼續攻擊其他未修補微軟
 MS08-067 弱點的電腦。另一種散播方式是將蠕蟲程式複製到連接至受感染
 之系統上的USB 等可攜式儲存設備，藉由此類設備高移動及使用性的特點
 來擴大感染範圍。
 目前該蠕蟲可能會利用的弱密碼，範例如下：
 1、重複性高，例如"00000" 、"zzzzz" 、"11111111"  2、按照鍵盤順序，例如"123qwe" 、"123asd"
 3、常用單字，例如"business" 、"computer"
 當系統感染蠕蟲後，會在系統進行以下行動：
 1、複製自身程式至以下資料夾，%System%\ {Random file name}.dl 、
 %Program Files%\ Internet Explorer 、%Program Files%\ Movie Maker
 2、建立惡意服務，並且設定開機啟動
 3、加入惡意登錄機碼
 4、利用微軟 MS08-067 弱點，以及在受感染系統上開啟http服務，進行散
 播
 5、偵測受駭系統是否連接 USB等可攜式儲存設備，如有連接則複製自身
 程式及 AUTORUN.INF 檔至該設備
 6、進行破解弱密碼的網路分享，並且將惡意程式複製到網路分享資料匣後，
 再繼續攻擊其他未修補微軟 MS08-067 弱點的電腦
 7、定期至特定網站下載檔案
 8、查詢受駭系統之 IP，並掃描相同網段之其他電腦
 註：%System%是Windows 系統資料夾，在Windows98/ME是指C:\ Windows\
 System，在WindowsNT/ 2000是指C:\ WINNT\ System32，在Windows XP
 /Vista/ Server2003是指 C:\ Windows\ System32。
（資料來源：HiNet 防毒防駭服務網）