W32.Downadup.B
病毒通告:W32.Downadup.B 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行
擴散,請勿開啟任何可疑連結並請儘速安裝微軟 MS08-067 更新檔!
風險等級:中度威脅
摘 要: 近日防毒軟體廠商賽門鐵克及趨勢科技追蹤到利用微軟MS08-067 弱點的
變種蠕蟲正在網路上大量散播,並且影響到眾多微軟視窗作業系統的使用
者,偵測到的病毒名稱分別為W32.Downadup.B及WORM_DOWNAD.AD。
若使用者尚未至微軟網站進行修補MS08-067 弱點,則會有感染此蠕蟲之
風險,一但系統被攻擊成功,將會被建立一惡意系統服務於開機時自動啟
動該蠕蟲程式,接下來會繼續攻擊其他未修補微軟MS08-067 弱點的電腦。
影響系統: Windows 95/ 98/ Me / NT/ 2000 / XP / 2003 / Vista
解決辦法: 若不慎執行惡意檔案,建議處理方式如下:
1、關閉系統還原功能 (Windows Me/ XP)
2、更新病毒碼定義檔到最新
3、執行全系統掃瞄
4、如使用賽門鐵克或趨勢科技之防毒軟體,請檢視掃描結果是否出現
W32.Downadup.B 或 WORM_DOWNAD.AD 病毒名稱
5、如確實感染上述之蠕蟲病毒,下載解毒工具網址:
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=WORM_DOWNAD.AD
6、修補 MS08-067 弱點之下載網址:
http://www.microsoft.com/taiwan/technet/security/Bulletin/MS08-067.mspx
細節描述:利用微軟 MS08-067 弱點的變種蠕蟲正在網路上大量散播,並且影響到眾多
微軟視窗作業系統的使用者,偵測到的病毒名稱分別為 W32.Downadup.B
及 WORM_DOWNAD.AD。此變種蠕蟲會進行破解弱密碼的網路分享,並
且將惡意程式複製到網路分享資料匣後,再繼續攻擊其他未修補微軟
MS08-067 弱點的電腦。另一種散播方式是將蠕蟲程式複製到連接至受感染
之系統上的USB 等可攜式儲存設備,藉由此類設備高移動及使用性的特點
來擴大感染範圍。
目前該蠕蟲可能會利用的弱密碼,範例如下:
1、重複性高,例如"00000" 、"zzzzz" 、"11111111" 2、按照鍵盤順序,例如"123qwe" 、"123asd"
3、常用單字,例如"business" 、"computer"
當系統感染蠕蟲後,會在系統進行以下行動:
1、複製自身程式至以下資料夾,%System%\ {Random file name}.dl 、
%Program Files%\ Internet Explorer 、%Program Files%\ Movie Maker
2、建立惡意服務,並且設定開機啟動
3、加入惡意登錄機碼
4、利用微軟 MS08-067 弱點,以及在受感染系統上開啟http服務,進行散
播
5、偵測受駭系統是否連接 USB等可攜式儲存設備,如有連接則複製自身
程式及 AUTORUN.INF 檔至該設備
6、進行破解弱密碼的網路分享,並且將惡意程式複製到網路分享資料匣後,
再繼續攻擊其他未修補微軟 MS08-067 弱點的電腦
7、定期至特定網站下載檔案
8、查詢受駭系統之 IP,並掃描相同網段之其他電腦
註:%System%是Windows 系統資料夾,在Windows98/ME是指C:\ Windows\
System,在WindowsNT/ 2000是指C:\ WINNT\ System32,在Windows XP
/Vista/ Server2003是指 C:\ Windows\ System32。
(資料來源:HiNet 防毒防駭服務網)