Conficker蠕虫病毒剖析以及防范措施

Conficker蠕虫病毒剖析以及防范措施2009-03-11 08:29作者：徐晓宇万立夫出处：电脑报责任编辑：杨玲

Conficker病毒具备了蠕虫病毒和下载者病毒的双重属性，是非常让人憎恶的病毒。该病毒进入中国后，极可能出现大量的变种，这些变种会利用新的系统漏洞进行传播，例如才曝光的MS09—002漏洞，会使用更多的反杀毒软件技术等。

Conficker病毒类型：蠕虫病毒、下载者病毒

病毒目的：入侵系统，下载盗号病毒

Conficker病毒来了

微软悬赏25万美元通缉，法国军方飞行训练叫停，这一切都是因为小小的一个病毒在作祟，那就是Conficker。自从2008年10月，安全厂商关注这个病毒开始，短短几个月时间，Conficker病毒已经感染了近400万台电脑(数据来自美国斯坦福研究院国际公司的技术报告)。

以前我们浏览Conficker新闻的时候，还可以轻松地打一回酱油，幸灾乐祸的人有，梦想得到那25万美元赏金的有……不过现在，它跟咱们中国网民可不再隔着喜马拉雅山、隔着太平洋了，它已经进入中国了。目前，该病毒已经在中国的网络上大肆传播，各种被“改良”的变种不断涌现。

人人都受影响

假设你是一名《魔兽世界》爱好者，当你登录自己的游戏账号时发现密码怎么都不对，也许这就是Conficker的“功劳”。与其他的病毒相比，Conficker更像是一个大毒枭，它可以下载各种盗号病毒来肆虐你的电脑，把你的装备洗清、金钱扔光，像一个凶暴的牛头人酋长一样把你的辛苦践踏在足下，剩下的只有玩家茫然无助的眼神。

我又不玩游戏，我不怕!如果你样想，那就大错特错了。你用网银吧，它会下载盗取网银的病毒。什么?不用网银?QQ用吧、论坛用吧、邮箱用吧……凡是可能要账号的，都可能被盗。

我什么也不用，它盗什么?那倒也是，不过你的系统设置会被修改，影响你的操作，这样还会置身事外，还会坦然处之?

病毒原理：Conficker病毒主要是借助闪存、利用微软的MS08-067漏洞进行传播的。当Conficker病毒进入系统后，首先破坏系统中的默认属性设置，接着会自动搜索局域网内有漏洞的其他电脑，一旦发现有存在漏洞的计算机系统，就会激活该漏洞并同感染系统创建连接，最后进行远程感染。

克制病毒方案

第一步：先断开电脑的网络连接，再运行进程管理工具Wsyscheck(下载地址：

/soft/utilitie/systems/319/442819.shtml)，可以看到一个名为Amvo.exe的红色进程，它就是病毒的进程。

选中该进程后，点击右键选择“结束选择的进程”。接着选中列表中的进程Explorer.exe(图1)，在模块列表中找到病毒模块文件Amvo0.dll，点击右键选择“卸载模块”即可。

第二步：点击Wsyscheck中的“文件管理”，定位到每个磁盘的根目录下，选中病毒文件9m2ke.exe 和Autorun.inf后，点击右键选择“直接删除”。然后定位到病毒主文件所在的System32目录下，选中病毒文件Amvo.exe和Amvo0.dll，并点击右键选择“直接删除”即可。

第三步：点击Wsyscheck中的“安全检查”标签中的“活动文件”，在列表中选择病毒启动项Amvo.exe 后，点击右键选择“修复所选项”。最后调出系统修复工具SREng(下载地址

/soft/utilitie/systems/327/440327.shtml)，点击“系统修复→高级修复”，再点击“自动修复”即可恢复被病毒破坏的系统。

最后重新安装杀毒软件，升级病毒库到最新版本，再进行全盘查杀，将病毒残留物彻底清除干净。