Win32/Conficker 蠕虫的病毒警报
感染症状
如果计算机感染了此蠕虫,您可能感觉不到任何症状,也可能会感觉到以下症状: 账户锁定策略失...
如果计算机感染了此蠕虫,您可能感觉不到任何症状,也可能会感觉到以下症状:
- 账户锁定策略失效。
- 自动更新、后台智能传送服务(BITS)、Windows Defender 和错误报告服务被禁用。
- 域控制器响应客户端请求的速度慢。
- 网络出现拥塞。
- 无法访问多个安全相关性网站。
- 很多与安全相关的工具将无法运行。有关已知工具的列表,请访问以下 Microsoft 网页,然后单击“分析”选项卡,了解有关 Win32/Conficker.D 的信息。有关详细信息,请访问以下 Microsoft 网页:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)
(英文网页)
有关 Win32/Conficker 的详细信息,请访问以下 Microsoft 恶意软件防护中心网页:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
回到顶端
传播方法
Win32/Conficker 有多种传播方法。这些方法包括: 攻击安全更新 958644 (MS08-067)修补的漏洞使用网络共享使用自动播放功能因此,清理...
Win32/Conficker 有多种传播方法。这些方法包括:
- 攻击安全更新 958644 (MS08-067)修补的漏洞
- 使用网络共享
- 使用自动播放功能
因此,清理网络时必须小心,以便威胁不会再次引入到之前已清理的系统中。
注意:Win32/Conficker.D 变体不会通过网络传播到可移动驱动器或共享文件夹。Win32/Conficker.D 是由 Win32/Conficker 的以前变体安装的。
回到顶端
防护措施
使用对所有计算机都唯一的强管理员密码。不要使用域管理凭据或具有对所有计算机的访问权限的凭据登录到计算机。确保所有系统都已应用最新的安全更新。禁用自动播放功能。有...
- 使用对所有计算机都唯一的强管理员密码。
- 不要使用域管理凭据或具有对所有计算机的访问权限的凭据登录到计算机。
- 确保所有系统都已应用最新的安全更新。
- 禁用自动播放功能。有关详细信息,请参阅“创建组策略对象”部分中的步骤 3。
- 删除过多的共享权限。包括删除对任何共享根目录的写入权限。
回到顶端
缓解步骤
使用组策略设置阻止 Win32/Conficker 传播注意 重要信息:请确保在进行本文中建议的任何更改之前记录所有当前设置。此过程不会删除系统中的 Confi...
使用组策略设置阻止 Win32/Conficker 传播
注意
- 重要信息:请确保在进行本文中建议的任何更改之前记录所有当前设置。
- 此过程不会删除系统中的 Conficker 恶意软件,只能阻止恶意软件的传播。应使用防病毒产品删除系统中的 Conficker 恶意软件。也可以按照此知识库文章中的“手动删除 Win32/Conficker 病毒的步骤”部分中的步骤操作,手动删除系统中的恶意软件。
- 完成以下步骤中建议的权限更改后,您可能无法正确安装应用程序、Service Pack 或其他更新。这包括(但不限于)使用 Windows Update、Microsoft Windows Server Update Services (WSUS) 服务器和系统中心配置管理器 (SCCM) 应用更新,因为这些产品依赖于自动更新的组件。请确保您在清理系统后将权限更改回默认设置。
- 有关“创建组策略对象”部分中提及的 SVCHOST 注册表项和任务文件夹的默认权限的信息,请参阅本文结尾处的“默认权限表”。
回到顶端
创建组策略对象
根据环境要求,创建一个适用于特定组织单位 (OU)、站点或域中所有计算机的新组策略对象 (GPO)。
为此,请按照下列步骤操作:
- 设置用于删除对以下注册表子项的写入权限的策略:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
这将阻止在 netsvcs 注册表值中创建随机命名的恶意软件服务。
为此,请按照下列步骤操作:
- 打开组策略管理控制台 (GPMC)。
- 创建一个新的 GPO,并为其命名。
- 打开新的 GPO,然后转到以下文件夹:
Computer Configuration\Windows Settings\Security Settings\Registry
- 右键单击“注册表”,然后单击“添加项”。
- 在“选择注册表项”对话框中,展开“计算机”,然后转到以下文件夹:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
- 单击“确定”。
- 在打开的对话框中,单击以清除“管理员”和“系统”对应的“完全控制”复选框。
- 单击“确定”。
- 在“添加对象”对话框中,单击“用可继承权限替换所有子项上的现有权限”。
- 单击“确定”。
- 设置用于删除对 %windir%\Tasks 文件夹的写入权限的策略。这将阻止 Conficker 恶意软件创建可再次感染系统的计划任务。
为此,请按照下列步骤操作:
- 在您之前创建的同一个 GPO 中,转到以下文件夹:
Computer Configuration\Windows Settings\Security Settings\File System
- 右键单击“文件系统”,然后单击“添加文件”。
- 在“添加文件或文件夹”对话框中,浏览到 %windir%\Tasks 文件夹。请确保“任务”以高亮显示状态列出在“文件夹”对话框中。
- 单击“确定”。
- 在打开的对话框中,单击清除“管理员”和“系统”的“完全控制”、“修改”和“写入”复选框。
- 单击“确定”。
- 在“添加对象”对话框中,单击“用可继承权限替换所有子项上的现有权限”。
- 单击“确定”。
- 将“自动播放”(自动运行)功能设置为禁用。这将阻止 Conficker 恶意软件利用内置于 Windows 的“自动播放”功能进行传播。
注意:您必须安装不同的更新才能正确禁用自动运行功能,具体取决于所使用的 Windows 版本:
- 若要禁用 Windows Vista 或 Windows Server 2008 中的自动运行功能,必须安装安全更新 950582 (http://support.microsoft.com/kb/950582) (已在安全公告 MS08-038 中说明)。
- 若要禁用 Windows XP、Windows Server 2003 或 Windows 2000 中的自动运行功能,必须安装安全更新 950582 (http://support.microsoft.com/kb/950582) 、更新 967715 (http://support.microsoft.com/kb/967715) 或更新 953252 (http://support.microsoft.com/kb/953252) 。
若要将自动播放(自动运行)功能设置为禁用,请按照下列步骤操作:
- 在之前创建的同一个 GPO 中,转到以下其中一个文件夹中:
- 对于 Windows Server 2003 域,转到以下文件夹:
Computer Configuration\Administrative Templates\System
- 对于 Windows 2008 域,转到以下文件夹:
Computer Configuration\Administrative Templates\Windows Components\Autoplay Policies
- 打开“关闭自动播放”策略。
- 在“关闭自动播放”对话框中,单击“已启用”。
- 在下拉菜单中,单击“所有驱动器”。
- 单击“确定”。
- 关闭组策略管理控制台。
- 将新创建的 GPO 链接到要应用的位置。
- 为组策略设置留有足够的时间更新到所有计算机。通常,需要 5 分钟才能将组策略复制到每个域控制器,然后再需要 90 分钟才能复制到系统中的其余计算机。留出几个小时的时间应该足够了。但是,根据不同环境,可能会需要更多的时间。
- 组策略设置传播之后,请清理系统中的恶意软件。
为此,请按照下列步骤操作:
- 在所有计算机上运行全面的防病毒扫描。
- 如果防病毒软件未检测到 Conficker,则可以使用恶意软件删除工具 (MSRT) 清理恶意软件。有关详细信息,请访问下面的 Microsoft 网页:
http://www.microsoft.com/china/security/malwareremove/default.mspx
(http://www.microsoft.com/china/security/malwareremove/default.mspx)
(英文网页)注意:可能需要手动执行某些步骤才能清理恶意软件的所有危害。建议您按照本文中的“手动删除 Win32/Conficker 病毒的步骤”部分中列出的步骤操作,清理恶意软件的所有危害。
回到顶端
恢复
运行恶意软件删除工具Microsoft 恶意软件防护中心已更新恶意软件删除工具(MSRT)。这是一个独立的二进制文件,有助于删除流行的恶意软件以及 Win32/...
运行恶意软件删除工具
Microsoft 恶意软件防护中心已更新恶意软件删除工具(MSRT)。这是一个独立的二进制文件,有助于删除流行的恶意软件以及 Win32/Conficker 恶意软件家族。
注意:MSRT 不会阻止再次感染,因为它不是实时防病毒程序。
您可从以下任一 Microsoft 网站下载 MSRT:
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-cn
(http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-cn)
http://support.microsoft.com/kb/890830
(http://support.microsoft.com/kb/890830)
有关 MSRT 特定部署详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
891716
(http://support.microsoft.com/kb/891716/ ) 在企业环境中部署 Microsoft Windows 恶意软件删除工具
注意独立系统清理程序还将删除该感染。该工具可作为 Microsoft Desktop Optimization Pack 6.0 或客户服务和支持中的一个组件。若要获取 Microsoft 桌面优化数据包,请访问以下 Microsoft 网站:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
(http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx)
(英文网页)如果 Windows Live OneCare 或 Microsoft Forefront Client Security 在系统上运行,则安装该数据包之前这些程序还会阻止威胁。
回到顶端
手动删除 Win32/Conficker 病毒的步骤
注意
- 不再需要这些手动步骤,且应仅在没有可删除 Conficker 病毒的防病毒软件时才使用。
- 本节中引用的某些值可能尚未被病毒更改,具体取决于计算机感染的 Win32/Conficker 变体。
以下详细步骤可帮助您手动删除系统中的 Conficker:
- 使用本地帐户登录到系统。
重要信息请勿使用域帐户登录到系统(如有可能)。特别是,不要使用域管理员帐户登录。恶意软件使用已登录用户凭据模拟已登录用户并访问网络资源。该行为会允许恶意软件传播。
- 停止服务器服务。该操作删除系统中的管理员共享,以便恶意软件无法使用该方法传播。
注意清理环境中的恶意软件时,应仅暂时禁用服务器服务。对于生产服务器尤其是这样,原因是该步骤会影响网络资源可用性。环境清理后,可立即重新启用服务器服务。
要停止服务器服务,请使用服务 Microsoft 管理控制台 (MMC)。为此,请按照下列步骤操作:
- 根据您的系统,请执行以下操作:
- 在 Windows Vista 和 Windows Server 2008 中,单击“开始”,在“开始搜索”框中键入 services.msc,然后单击“程序”列表中的 services.msc。
- 在 Windows 2000、Windows XP 和 Windows Server 2003 中,请依次单击“开始”、“运行”,键入 services.msc,然后单击“确定”。
- 双击“服务器”。
- 单击“停止”。
- 在“启动类型”框中选择“已禁用”。
- 单击“应用”。
- 删除所有创建 AT 的计划任务。为此,请在命令提示符处键入 AT /Delete /Yes。
- 停止任务计划程序服务。
- 若要停止 Windows 2000、Windows XP 和 Windows Server 2003 中的任务计划程序服务,请使用服务 Microsoft 管理控制台(MMC)或 SC.exe 实用程序。
- 若要停止 Windows Vista 或 Windows Server 2008 中的任务计划程序服务,请执行以下步骤。
重要说明:此部分、方法或任务包含有关如何修改注册表的步骤。但是,注册表修改不当可能会出现严重问题。因此,请一定严格按照下列步骤操作。为了获得进一步保护,请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756
(http://support.microsoft.com/kb/322756/ ) 如何在 Windows XP 和 Windows Server 2003 中备份、编辑和还原注册表
- 单击“开始”,在“开始搜索”框中键入 regedit,然后单击“程序”列表中的“regedit.exe”。
- 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
- 在详细信息窗格中,右键单击“开始”DWORD 项,然后单击“修改”。
- 在“数值数据”框中,键入 4,然后单击“确定”。
- 退出注册表编辑器,然后重新启动计算机。
注意:该任务计划程序服务应仅在清理环境中的恶意软件时临时禁用。在 Windows Vista 和 Windows Server 2008 上更应该这样做,因为此步骤将影响各种内置的计划任务。清理环境后,请立即重新启用该服务器服务。
- 下载安全更新 958644 (MS08-067)并进行手动安装。有关更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
(http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx)
注意可能会由于恶意软件感染阻止该站点。在该方案中,必须通过未感染的计算机下载更新,然后将该更新文件传送到已感染的系统。建议您将更新刻录到 CD 中,原因是刻录的 CD 不可写。因此,它无法被感染。如果可刻录的 CD 驱动器不可用,则可移动的 USB 内存驱动器可能是将更新复制到已感染系统的唯一方法。如果使用可移动驱动器,则注意恶意软件可以感染带有 Autorun.inf 文件的驱动器。将更新复制到可移动驱动器后,请确保将驱动器更改为只读模式,如果设备具有该选项。如果只读模式可用,则通常使用设备上的物理开关启用。因此,将更新文件复制到已感染的计算机后,请检查可移动驱动器以查看 Autorun.inf 文件是否已写入到该驱动器。如果是,则将 Autorun.inf 文件重命名为类似于 Autorun.bad 的名称,以便将可移动驱动器连接到计算机时该文件不会运行。
- 重置本地管理员和域管理员密码以便使用新的强密码。有关更多信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/zh-cn/library/cc875814.aspx
(http://technet.microsoft.com/zh-cn/library/cc875814.aspx)
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- 在详细信息窗格中,右键单击“netsvcs”项,然后单击“修改”。
- 如果计算机感染了 Win32/Conficker 病毒,将列出一个随机服务名称。
注意:感染了 Win32/Conficker.B 后,该服务名称变成随机字母且位于列表末端。感染了后来的病毒变体后,该服务名称可能位于列表的任何位置,且看上去可能更合理。如果随机服务名称不位于列表末端,请将系统与此过程中的“服务表”进行比较,以确定可能已由 Win32/Conficker 添加的服务名称。若要验证,请将该“服务表”中的列表与已知未被感染的相似系统进行比较。
记下恶意软件服务的名称。稍后您将需要此过程中的此信息。
- 删除包含恶意软件服务参考的行。请确保将列出的最后合法项下的换行保留为空,然后单击“确定”。
有关服务表的说明
- 除了以粗体高亮显示的项目外,该服务表中的所有项都是有效项。
- 以粗体高亮显示的项就是 Win32/Conficker 病毒可能添加到 SVCHOST 注册表项的 netsvcs 值中的内容示例。
- 根据系统上安装的服务,这可能不是服务的完整列表。
- 服务表来自 Windows 的默认安装。
- Win32/Conficker 病毒添加到列表中的项是一种迷惑技术。蓄意使首字母相似的高亮显示恶意项首字母是小写的“L”,但实际上是大写的“I”。由于操作系统使用的字体的原因,大写的“I”看起来与小写的“L”很相像。
服务表
收起该表格
Windows Server 2008
Windows Vista
Windows Server 2003
Windows XP
Windows 2000
AeLookupSvc
AeLookupSvc
AppMgmt
6to4
EventSystem
wercplsupport
wercplsupport
AudioSrv
AppMgmt
Ias
Themes
Themes
Browser
AudioSrv
Iprip
CertPropSvc
CertPropSvc
CryptSvc
Browser
Irmon
SCPolicySvc
SCPolicySvc
DMServer
CryptSvc
Netman
lanmanserver
lanmanserver
EventSystem
DMServer
Nwsapagent
gpsvc
gpsvc
HidServ
DHCP
Rasauto
IKEEXT
IKEEXT
Ias
ERSvc
Iaslogon
AudioSrv
AudioSrv
Iprip
EventSystem
Rasman
FastUserSwitchingCompatibility
FastUserSwitchingCompatibility
Irmon
FastUserSwitchingCompatibility
Remoteaccess
Ias
Ias
LanmanServer
HidServ
SENS
Irmon
Irmon
LanmanWorkstation
Ias
Sharedaccess
Nla
Nla
Messenger
Iprip
Ntmssvc
Ntmssvc
Ntmssvc
Netman
Irmon
wzcsvc
NWCWorkstation
NWCWorkstation
Nla
LanmanServer
Nwsapagent
Nwsapagent
Ntmssvc
LanmanWorkstation
Rasauto
Rasauto
NWCWorkstation
Messenger
Rasman
Rasman
Nwsapagent
Netman
Iaslogon
Iaslogon
Iaslogon
Iaslogon
Remoteaccess
Remoteaccess
Rasauto
Nla
SENS
SENS
Rasman
Ntmssvc
Sharedaccess
Sharedaccess
Remoteaccess
NWCWorkstation
SRService
SRService
Sacsvr
Nwsapagent
Tapisrv
Tapisrv
Schedule
Rasauto
Wmi
Wmi
Seclogon
Rasman
WmdmPmSp
WmdmPmSp
SENS
Remoteaccess
TermService
TermService
Sharedaccess
Schedule
wuauserv
wuauserv
Themes
Seclogon
BITS
BITS
TrkWks
SENS
ShellHWDetection
ShellHWDetection
TrkSvr
Sharedaccess
LogonHours
LogonHours
W32Time
SRService
PCAudit
PCAudit
WZCSVC
Tapisrv
helpsvc
helpsvc
Wmi
Themes
uploadmgr
uploadmgr
WmdmPmSp
TrkWks
iphlpsvc
iphlpsvc
winmgmt
W32Time
seclogon
seclogon
wuauserv
WZCSVC
AppInfo
AppInfo
BITS
Wmi
msiscsi
msiscsi
ShellHWDetection
WmdmPmSp
MMCSS
MMCSS
uploadmgr
winmgmt
browser
ProfSvc
WmdmPmSN
TermService
winmgmt
EapHost
xmlprov
wuauserv
SessionEnv
winmgmt
AeLookupSvc
BITS
ProfSvc
schedule
helpsvc
ShellHWDetection
EapHost
SessionEnv
helpsvc
hkmsvc
browser
xmlprov
schedule
hkmsvc
wscsvc
AppMgmt
AppMgmt
WmdmPmSN
sacsvr
hkmsvc
- 在前面的过程中,您已记下恶意软件服务的名称。在示例中,恶意软件项的名称为“Iaslogon”。使用该信息,按照下列步骤操作:
- 在注册表编辑器中,找到并单击以下注册表子项,其中 BadServiceName 是恶意软件服务的名称:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
例如,找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
- 右键单击导航窗格中恶意软件服务名称的子项,然后单击“权限”。
- 在“SvcHost 权限项”对话框中,单击“高级”。
- 在“高级安全设置”对话框中,单击选中以下两个复选框:
从父级继承应用于子对象的权限项。包括那些在此明确定义的项目”。
使用此处显示的应用到子对象的项替换所有子对象上的权限项。
- 按 F5 更新注册表编辑器。在详细信息窗格中,现在可以看到并编辑作为“ServiceDll”加载的恶意软件 DLL。为此,请执行以下步骤:
- 双击 ServiceDll 项。
- 记下参考 DLL 的路径。稍后您将需要此过程中的此信息。例如,参考 DLL 的路径可能类似于以下内容:
%SystemRoot%\System32\doieuln.dll
将参考重命名为类似于以下内容:
%SystemRoot%\System32\doieuln.old
- 单击“确定”。
- 从注册表中的“运行”子项删除恶意软件服务项。
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 在两个子项中,找到以“rundll32.exe”开头的任意项,并参考作为在步骤 12b 中发现的“ServiceDll”加载的恶意软件 DLL。删除该项。
- 退出注册表编辑器,然后重新启动计算机。
- 检查系统上所有驱动器中的 Autorun.inf 文件。使用记事本打开每个文件,然后验证该文件是有效的 Autorun.inf 文件。下面是一个通常有效 Autorun.inf 文件的示例。
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
有效的 Autorun.inf 通常为 1 到 2 千字节(KB)。
- 删除看似无效的任意 Autorun.inf 文件。
- 重新启动计算机。
- 使隐藏的文件可见。为此,在命令提示符处键入以下命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
- 设置“显示隐藏文件和文件夹”,以便您可以看到该文件。若要执行此操作,请执行下列步骤:
- 在步骤 12b 中,记下恶意软件引用的 .dll 文件的路径。例如,记下类似于以下内容的路径:
%systemroot%\System32\doieuln.dll
在 Windows 资源管理器中,打开 %systemroot%\System32 目录或包含该恶意软件的目录。
- 单击“工具”,然后单击“文件夹选项”。
- 单击“查看”选项卡。
- 选中“显示隐藏的文件和文件夹”复选框。
- 单击“确定”。
- 选择该 .dll 文件。
- 编辑文件的权限以添加“完全控制每个人”。为此,请按照下列步骤操作:
- 右键单击该 .dll 文件,然后单击“属性”。
- 单击“安全”选项卡。
- 单击“每个人”,然后单击选中“允许”列中的“完全控制”复选框。
- 单击“确定”。
- 删除恶意软件引用的 .dll 文件。例如,删除 %systemroot%\System32\doieuln.dll 文件。
- 使用服务 Microsoft 管理控制台(MMC)启用 BITS、自动更新、错误报告和 Windows Defender 服务。
- 关闭自动运行功能有助于降低任何再次感染的可能性。为此,请按照下列步骤操作:
- 根据您的环境,安装下列更新之一:
- 如果运行的是 Windows 2000、Windows XP 或 Windows Server 2003,则安装更新 967715。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
967715
(http://support.microsoft.com/kb/967715/ ) 如何禁用 Windows 中的自动运行功能
- 如果运行的是 Windows Vista 或 Windows Server 2008,则安装安全更新 950582。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
950582
(http://support.microsoft.com/kb/950582/ ) MS08-038:Windows 资源管理器中的漏洞可能允许远程执行代码
注意:更新 967715 和安全更新 950582 与此恶意软件问题无关。必须安装这些更新才能启用步骤 23b 中的注册表功能。
- 在命令提示符处键入下面的命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
- 如果系统运行的是 Windows Defender,则重新启用 Windows Defender 自动启动位置。为此,请在命令提示符下键入以下命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
- 对于 Windows Vista 和较新的操作系统,恶意软件会将 TCP Receive Window Autotuning 的全局设置改为禁用。若要将此设置改回,请在命令提示符处键入以下命令:
netsh interface tcp set global autotuning=normal
如果在完成该过程后,计算机看似已再次感染,则以下条件之一可能为真:
- 自动启动位置之一未被删除。例如,AT 作业未被删除,或 Autorun.inf 文件未被删除。
- 安全更新 MS08-067 未正确安装。
此恶意软件可能会更改本文中未提及的其他设置。请访问以下 Microsoft 恶意软件防护中心网页,获取有关 Win32/Conficker 的最新详细信息:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
回到顶端
验证该系统为干净系统
验证已启动以下服务:
- 自动更新(wuauserv)
- 后台智能传输服务(BITS)
- Windows Defender (windefend)(如果适用)
- Windows 错误报告服务
为此,请在命令提示符下键入以下命令。在键入每个命令后按 Enter:
Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc
每个命令运行后,您将会收到一条类似于以下内容的消息:
在此示例中,“STATE :4 RUNNING”表示该服务正在运行。
若要验证 SvcHost 注册表子项的状态,请执行以下步骤:
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- 在详细信息窗格中,单击 netsvcs,然后查看列出的服务名称。滚动到列表的底端。如果该计算机再次感染了 Conficker,将列出随机服务名称。例如,在此过程中,恶意软件服务的名称为“Iaslogon”。
如果这些步骤未解决该问题,则与您的防病毒软件供应商联系。 有关此问题的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
49500
(http://support.microsoft.com/kb/49500/ ) 防病毒软件供应商列表
如果没有防病毒软件供应商,或您的防病毒软件供应商无法提供帮助,则与 Microsoft 客户支持服务联系获取更多帮助。
回到顶端
完全清理环境后
完全清理环境后,请执行以下步骤:
- 重新启用服务器服务和任务计划程序服务。
- 还原 SVCHOST 注册表项和任务文件夹的默认权限。应使用组策略设置将此权限恢复到默认设置。如果仅删除策略,可能不会更改回默认权限。请参阅“缓解步骤”部分中的默认权限表了解详细信息。
- 通过安装任意遗漏的安全更新来更新计算机。为此,使用 Windows Update、Microsoft Windows Server Update Services (WSUS)服务器、Systems Management Server (SMS)、System Center Configuration Manager (SCCM) 或第三方更新管理产品。如果使用 SMS 或 SCCM,则必须首先重新启用服务器服务。否则,SMS 或 SCCM 可能无法更新系统。
回到顶端
识别受感染的系统
如果在识别感染了 Conficker 的系统时遇到问题,则以下 TechNet 博客中提供的详细信息可能会对您有所帮助: http://blogs.techne...
如果在识别感染了 Conficker 的系统时遇到问题,则以下 TechNet 博客中提供的详细信息可能会对您有所帮助:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx(英文网页)
(http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx)
回到顶端
默认权限表
下表显示了每个操作系统的默认权限。这些权限在您应用本文中所建议的更改之前就存在。它们可能与您的环境中设置的权限有所不同。因此,必须在进行任何更改前记录下您的设置...
下表显示了每个操作系统的默认权限。这些权限在您应用本文中所建议的更改之前就存在。它们可能与您的环境中设置的权限有所不同。因此,必须在进行任何更改前记录下您的设置,以便可以在清理系统后还原您的设置。
收起该表格
操作系统
Windows Server 2008
Windows Vista
Windows Server 2003
Windows XP
Windows 2000
设置
Svchost 注册表
任务文件夹
Svchost 注册表
任务文件夹
Svchost 注册表
任务文件夹
Svchost 注册表
任务文件夹
Svchost 注册表
任务文件夹
帐户
管理员(本地组)
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
系统
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
完全控制
超级用户(本地组)
不适用
不适用
不适用
不适用
读取
不适用
读取
不适用
读取
不适用
用户(本地组)
特殊
不适用
特殊
不适用
读取
不适用
读取
不适用
读取
不适用
应用于:此项及子项
应用于:此项及子项
查询值
查询值
枚举子项
枚举子项
通知
通知
读取控制
读取控制
经过身份验证的用户
不适用
特殊
不适用
特殊
不适用
不适用
不适用
不适用
不适用
不适用
应用于:仅此文件夹
应用于:仅此文件夹
遍历文件夹
遍历文件夹
列出文件夹
列出文件夹
读取属性
读取属性
读取扩展属性
读取扩展属性
创建文件
创建文件
读取权限
读取权限
备份操作员(本地组)
不适用
不适用
不适用
不适用
不适用
特殊
不适用
特殊
应用于:仅此文件夹
应用于:仅此文件夹
遍历文件夹
遍历文件夹
列出文件夹
列出文件夹
读取属性
读取属性
读取扩展属性
读取扩展属性
创建文件
创建文件
读取权限
读取权限
每个用户
不适用
不适用
不适用
不适用
不适用
不适用
不适用
不适用
不适用
特殊
应用于:此文件夹、子文件夹和文件
遍历文件夹
列出文件夹
读取属性
读取扩展属性
创建文件
创建文件夹
写入属性
写入扩展属性
读取权限
回到顶端
如果计算机感染了此蠕虫,您可能感觉不到任何症状,也可能会感觉到以下症状: 账户锁定策略失...
- 账户锁定策略失效。
- 自动更新、后台智能传送服务(BITS)、Windows Defender 和错误报告服务被禁用。
- 域控制器响应客户端请求的速度慢。
- 网络出现拥塞。
- 无法访问多个安全相关性网站。
- 很多与安全相关的工具将无法运行。有关已知工具的列表,请访问以下 Microsoft 网页,然后单击“分析”选项卡,了解有关 Win32/Conficker.D 的信息。有关详细信息,请访问以下 Microsoft 网页:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)(英文网页)
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
回到顶端
Win32/Conficker 有多种传播方法。这些方法包括: 攻击安全更新 958644 (MS08-067)修补的漏洞使用网络共享使用自动播放功能因此,清理...
- 攻击安全更新 958644 (MS08-067)修补的漏洞
- 使用网络共享
- 使用自动播放功能
注意:Win32/Conficker.D 变体不会通过网络传播到可移动驱动器或共享文件夹。Win32/Conficker.D 是由 Win32/Conficker 的以前变体安装的。
回到顶端
使用对所有计算机都唯一的强管理员密码。不要使用域管理凭据或具有对所有计算机的访问权限的凭据登录到计算机。确保所有系统都已应用最新的安全更新。禁用自动播放功能。有...
- 使用对所有计算机都唯一的强管理员密码。
- 不要使用域管理凭据或具有对所有计算机的访问权限的凭据登录到计算机。
- 确保所有系统都已应用最新的安全更新。
- 禁用自动播放功能。有关详细信息,请参阅“创建组策略对象”部分中的步骤 3。
- 删除过多的共享权限。包括删除对任何共享根目录的写入权限。
回到顶端
使用组策略设置阻止 Win32/Conficker 传播注意 重要信息:请确保在进行本文中建议的任何更改之前记录所有当前设置。此过程不会删除系统中的 Confi...
使用组策略设置阻止 Win32/Conficker 传播
注意- 重要信息:请确保在进行本文中建议的任何更改之前记录所有当前设置。
- 此过程不会删除系统中的 Conficker 恶意软件,只能阻止恶意软件的传播。应使用防病毒产品删除系统中的 Conficker 恶意软件。也可以按照此知识库文章中的“手动删除 Win32/Conficker 病毒的步骤”部分中的步骤操作,手动删除系统中的恶意软件。
- 完成以下步骤中建议的权限更改后,您可能无法正确安装应用程序、Service Pack 或其他更新。这包括(但不限于)使用 Windows Update、Microsoft Windows Server Update Services (WSUS) 服务器和系统中心配置管理器 (SCCM) 应用更新,因为这些产品依赖于自动更新的组件。请确保您在清理系统后将权限更改回默认设置。
- 有关“创建组策略对象”部分中提及的 SVCHOST 注册表项和任务文件夹的默认权限的信息,请参阅本文结尾处的“默认权限表”。
回到顶端
创建组策略对象
根据环境要求,创建一个适用于特定组织单位 (OU)、站点或域中所有计算机的新组策略对象 (GPO)。为此,请按照下列步骤操作:
- 设置用于删除对以下注册表子项的写入权限的策略:
这将阻止在 netsvcs 注册表值中创建随机命名的恶意软件服务。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
为此,请按照下列步骤操作:- 打开组策略管理控制台 (GPMC)。
- 创建一个新的 GPO,并为其命名。
- 打开新的 GPO,然后转到以下文件夹:
Computer Configuration\Windows Settings\Security Settings\Registry
- 右键单击“注册表”,然后单击“添加项”。
- 在“选择注册表项”对话框中,展开“计算机”,然后转到以下文件夹:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
- 单击“确定”。
- 在打开的对话框中,单击以清除“管理员”和“系统”对应的“完全控制”复选框。
- 单击“确定”。
- 在“添加对象”对话框中,单击“用可继承权限替换所有子项上的现有权限”。
- 单击“确定”。
- 设置用于删除对 %windir%\Tasks 文件夹的写入权限的策略。这将阻止 Conficker 恶意软件创建可再次感染系统的计划任务。
为此,请按照下列步骤操作:- 在您之前创建的同一个 GPO 中,转到以下文件夹:
Computer Configuration\Windows Settings\Security Settings\File System
- 右键单击“文件系统”,然后单击“添加文件”。
- 在“添加文件或文件夹”对话框中,浏览到 %windir%\Tasks 文件夹。请确保“任务”以高亮显示状态列出在“文件夹”对话框中。
- 单击“确定”。
- 在打开的对话框中,单击清除“管理员”和“系统”的“完全控制”、“修改”和“写入”复选框。
- 单击“确定”。
- 在“添加对象”对话框中,单击“用可继承权限替换所有子项上的现有权限”。
- 单击“确定”。
- 在您之前创建的同一个 GPO 中,转到以下文件夹:
- 将“自动播放”(自动运行)功能设置为禁用。这将阻止 Conficker 恶意软件利用内置于 Windows 的“自动播放”功能进行传播。
注意:您必须安装不同的更新才能正确禁用自动运行功能,具体取决于所使用的 Windows 版本:- 若要禁用 Windows Vista 或 Windows Server 2008 中的自动运行功能,必须安装安全更新 950582 (http://support.microsoft.com/kb/950582) (已在安全公告 MS08-038 中说明)。
- 若要禁用 Windows XP、Windows Server 2003 或 Windows 2000 中的自动运行功能,必须安装安全更新 950582 (http://support.microsoft.com/kb/950582) 、更新 967715 (http://support.microsoft.com/kb/967715) 或更新 953252 (http://support.microsoft.com/kb/953252) 。
- 在之前创建的同一个 GPO 中,转到以下其中一个文件夹中:
- 对于 Windows Server 2003 域,转到以下文件夹:
Computer Configuration\Administrative Templates\System
- 对于 Windows 2008 域,转到以下文件夹:
Computer Configuration\Administrative Templates\Windows Components\Autoplay Policies
- 对于 Windows Server 2003 域,转到以下文件夹:
- 打开“关闭自动播放”策略。
- 在“关闭自动播放”对话框中,单击“已启用”。
- 在下拉菜单中,单击“所有驱动器”。
- 单击“确定”。
- 关闭组策略管理控制台。
- 将新创建的 GPO 链接到要应用的位置。
- 为组策略设置留有足够的时间更新到所有计算机。通常,需要 5 分钟才能将组策略复制到每个域控制器,然后再需要 90 分钟才能复制到系统中的其余计算机。留出几个小时的时间应该足够了。但是,根据不同环境,可能会需要更多的时间。
- 组策略设置传播之后,请清理系统中的恶意软件。
为此,请按照下列步骤操作:- 在所有计算机上运行全面的防病毒扫描。
- 如果防病毒软件未检测到 Conficker,则可以使用恶意软件删除工具 (MSRT) 清理恶意软件。有关详细信息,请访问下面的 Microsoft 网页:
http://www.microsoft.com/china/security/malwareremove/default.mspx (http://www.microsoft.com/china/security/malwareremove/default.mspx)(英文网页)注意:可能需要手动执行某些步骤才能清理恶意软件的所有危害。建议您按照本文中的“手动删除 Win32/Conficker 病毒的步骤”部分中列出的步骤操作,清理恶意软件的所有危害。
回到顶端
运行恶意软件删除工具Microsoft 恶意软件防护中心已更新恶意软件删除工具(MSRT)。这是一个独立的二进制文件,有助于删除流行的恶意软件以及 Win32/...
运行恶意软件删除工具
Microsoft 恶意软件防护中心已更新恶意软件删除工具(MSRT)。这是一个独立的二进制文件,有助于删除流行的恶意软件以及 Win32/Conficker 恶意软件家族。注意:MSRT 不会阻止再次感染,因为它不是实时防病毒程序。
您可从以下任一 Microsoft 网站下载 MSRT:
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-cn
(http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-cn)
http://support.microsoft.com/kb/890830 (http://support.microsoft.com/kb/890830)
http://support.microsoft.com/kb/890830 (http://support.microsoft.com/kb/890830)
有关 MSRT 特定部署详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
891716
(http://support.microsoft.com/kb/891716/ ) 在企业环境中部署 Microsoft Windows 恶意软件删除工具
注意独立系统清理程序还将删除该感染。该工具可作为 Microsoft Desktop Optimization Pack 6.0 或客户服务和支持中的一个组件。若要获取 Microsoft 桌面优化数据包,请访问以下 Microsoft 网站:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
(http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx)
(英文网页)如果 Windows Live OneCare 或 Microsoft Forefront Client Security 在系统上运行,则安装该数据包之前这些程序还会阻止威胁。
回到顶端
手动删除 Win32/Conficker 病毒的步骤
注意- 不再需要这些手动步骤,且应仅在没有可删除 Conficker 病毒的防病毒软件时才使用。
- 本节中引用的某些值可能尚未被病毒更改,具体取决于计算机感染的 Win32/Conficker 变体。
- 使用本地帐户登录到系统。
重要信息请勿使用域帐户登录到系统(如有可能)。特别是,不要使用域管理员帐户登录。恶意软件使用已登录用户凭据模拟已登录用户并访问网络资源。该行为会允许恶意软件传播。 - 停止服务器服务。该操作删除系统中的管理员共享,以便恶意软件无法使用该方法传播。
注意清理环境中的恶意软件时,应仅暂时禁用服务器服务。对于生产服务器尤其是这样,原因是该步骤会影响网络资源可用性。环境清理后,可立即重新启用服务器服务。
要停止服务器服务,请使用服务 Microsoft 管理控制台 (MMC)。为此,请按照下列步骤操作:- 根据您的系统,请执行以下操作:
- 在 Windows Vista 和 Windows Server 2008 中,单击“开始”,在“开始搜索”框中键入 services.msc,然后单击“程序”列表中的 services.msc。
- 在 Windows 2000、Windows XP 和 Windows Server 2003 中,请依次单击“开始”、“运行”,键入 services.msc,然后单击“确定”。
- 双击“服务器”。
- 单击“停止”。
- 在“启动类型”框中选择“已禁用”。
- 单击“应用”。
- 根据您的系统,请执行以下操作:
- 删除所有创建 AT 的计划任务。为此,请在命令提示符处键入 AT /Delete /Yes。
- 停止任务计划程序服务。
- 若要停止 Windows 2000、Windows XP 和 Windows Server 2003 中的任务计划程序服务,请使用服务 Microsoft 管理控制台(MMC)或 SC.exe 实用程序。
- 若要停止 Windows Vista 或 Windows Server 2008 中的任务计划程序服务,请执行以下步骤。
重要说明:此部分、方法或任务包含有关如何修改注册表的步骤。但是,注册表修改不当可能会出现严重问题。因此,请一定严格按照下列步骤操作。为了获得进一步保护,请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:322756 (http://support.microsoft.com/kb/322756/ ) 如何在 Windows XP 和 Windows Server 2003 中备份、编辑和还原注册表- 单击“开始”,在“开始搜索”框中键入 regedit,然后单击“程序”列表中的“regedit.exe”。
- 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
- 在详细信息窗格中,右键单击“开始”DWORD 项,然后单击“修改”。
- 在“数值数据”框中,键入 4,然后单击“确定”。
- 退出注册表编辑器,然后重新启动计算机。
注意:该任务计划程序服务应仅在清理环境中的恶意软件时临时禁用。在 Windows Vista 和 Windows Server 2008 上更应该这样做,因为此步骤将影响各种内置的计划任务。清理环境后,请立即重新启用该服务器服务。
- 下载安全更新 958644 (MS08-067)并进行手动安装。有关更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx (http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx)注意可能会由于恶意软件感染阻止该站点。在该方案中,必须通过未感染的计算机下载更新,然后将该更新文件传送到已感染的系统。建议您将更新刻录到 CD 中,原因是刻录的 CD 不可写。因此,它无法被感染。如果可刻录的 CD 驱动器不可用,则可移动的 USB 内存驱动器可能是将更新复制到已感染系统的唯一方法。如果使用可移动驱动器,则注意恶意软件可以感染带有 Autorun.inf 文件的驱动器。将更新复制到可移动驱动器后,请确保将驱动器更改为只读模式,如果设备具有该选项。如果只读模式可用,则通常使用设备上的物理开关启用。因此,将更新文件复制到已感染的计算机后,请检查可移动驱动器以查看 Autorun.inf 文件是否已写入到该驱动器。如果是,则将 Autorun.inf 文件重命名为类似于 Autorun.bad 的名称,以便将可移动驱动器连接到计算机时该文件不会运行。
- 重置本地管理员和域管理员密码以便使用新的强密码。有关更多信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/zh-cn/library/cc875814.aspx (http://technet.microsoft.com/zh-cn/library/cc875814.aspx)
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- 在详细信息窗格中,右键单击“netsvcs”项,然后单击“修改”。
- 如果计算机感染了 Win32/Conficker 病毒,将列出一个随机服务名称。
注意:感染了 Win32/Conficker.B 后,该服务名称变成随机字母且位于列表末端。感染了后来的病毒变体后,该服务名称可能位于列表的任何位置,且看上去可能更合理。如果随机服务名称不位于列表末端,请将系统与此过程中的“服务表”进行比较,以确定可能已由 Win32/Conficker 添加的服务名称。若要验证,请将该“服务表”中的列表与已知未被感染的相似系统进行比较。
记下恶意软件服务的名称。稍后您将需要此过程中的此信息。 - 删除包含恶意软件服务参考的行。请确保将列出的最后合法项下的换行保留为空,然后单击“确定”。
有关服务表的说明- 除了以粗体高亮显示的项目外,该服务表中的所有项都是有效项。
- 以粗体高亮显示的项就是 Win32/Conficker 病毒可能添加到 SVCHOST 注册表项的 netsvcs 值中的内容示例。
- 根据系统上安装的服务,这可能不是服务的完整列表。
- 服务表来自 Windows 的默认安装。
- Win32/Conficker 病毒添加到列表中的项是一种迷惑技术。蓄意使首字母相似的高亮显示恶意项首字母是小写的“L”,但实际上是大写的“I”。由于操作系统使用的字体的原因,大写的“I”看起来与小写的“L”很相像。
服务表
收起该表格Windows Server 2008 Windows Vista Windows Server 2003 Windows XP Windows 2000 AeLookupSvc AeLookupSvc AppMgmt 6to4 EventSystem wercplsupport wercplsupport AudioSrv AppMgmt Ias Themes Themes Browser AudioSrv Iprip CertPropSvc CertPropSvc CryptSvc Browser Irmon SCPolicySvc SCPolicySvc DMServer CryptSvc Netman lanmanserver lanmanserver EventSystem DMServer Nwsapagent gpsvc gpsvc HidServ DHCP Rasauto IKEEXT IKEEXT Ias ERSvc Iaslogon AudioSrv AudioSrv Iprip EventSystem Rasman FastUserSwitchingCompatibility FastUserSwitchingCompatibility Irmon FastUserSwitchingCompatibility Remoteaccess Ias Ias LanmanServer HidServ SENS Irmon Irmon LanmanWorkstation Ias Sharedaccess Nla Nla Messenger Iprip Ntmssvc Ntmssvc Ntmssvc Netman Irmon wzcsvc NWCWorkstation NWCWorkstation Nla LanmanServer Nwsapagent Nwsapagent Ntmssvc LanmanWorkstation Rasauto Rasauto NWCWorkstation Messenger Rasman Rasman Nwsapagent Netman Iaslogon Iaslogon Iaslogon Iaslogon Remoteaccess Remoteaccess Rasauto Nla SENS SENS Rasman Ntmssvc Sharedaccess Sharedaccess Remoteaccess NWCWorkstation SRService SRService Sacsvr Nwsapagent Tapisrv Tapisrv Schedule Rasauto Wmi Wmi Seclogon Rasman WmdmPmSp WmdmPmSp SENS Remoteaccess TermService TermService Sharedaccess Schedule wuauserv wuauserv Themes Seclogon BITS BITS TrkWks SENS ShellHWDetection ShellHWDetection TrkSvr Sharedaccess LogonHours LogonHours W32Time SRService PCAudit PCAudit WZCSVC Tapisrv helpsvc helpsvc Wmi Themes uploadmgr uploadmgr WmdmPmSp TrkWks iphlpsvc iphlpsvc winmgmt W32Time seclogon seclogon wuauserv WZCSVC AppInfo AppInfo BITS Wmi msiscsi msiscsi ShellHWDetection WmdmPmSp MMCSS MMCSS uploadmgr winmgmt browser ProfSvc WmdmPmSN TermService winmgmt EapHost xmlprov wuauserv SessionEnv winmgmt AeLookupSvc BITS ProfSvc schedule helpsvc ShellHWDetection EapHost SessionEnv helpsvc hkmsvc browser xmlprov schedule hkmsvc wscsvc AppMgmt AppMgmt WmdmPmSN sacsvr hkmsvc - 在前面的过程中,您已记下恶意软件服务的名称。在示例中,恶意软件项的名称为“Iaslogon”。使用该信息,按照下列步骤操作:
- 在注册表编辑器中,找到并单击以下注册表子项,其中 BadServiceName 是恶意软件服务的名称:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName例如,找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
- 右键单击导航窗格中恶意软件服务名称的子项,然后单击“权限”。
- 在“SvcHost 权限项”对话框中,单击“高级”。
- 在“高级安全设置”对话框中,单击选中以下两个复选框:
从父级继承应用于子对象的权限项。包括那些在此明确定义的项目”。
使用此处显示的应用到子对象的项替换所有子对象上的权限项。
- 在注册表编辑器中,找到并单击以下注册表子项,其中 BadServiceName 是恶意软件服务的名称:
- 按 F5 更新注册表编辑器。在详细信息窗格中,现在可以看到并编辑作为“ServiceDll”加载的恶意软件 DLL。为此,请执行以下步骤:
- 双击 ServiceDll 项。
- 记下参考 DLL 的路径。稍后您将需要此过程中的此信息。例如,参考 DLL 的路径可能类似于以下内容:
将参考重命名为类似于以下内容:
%SystemRoot%\System32\doieuln.dll
%SystemRoot%\System32\doieuln.old
- 单击“确定”。
- 从注册表中的“运行”子项删除恶意软件服务项。
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - 在两个子项中,找到以“rundll32.exe”开头的任意项,并参考作为在步骤 12b 中发现的“ServiceDll”加载的恶意软件 DLL。删除该项。
- 退出注册表编辑器,然后重新启动计算机。
- 在注册表编辑器中,找到并单击下面的注册表子项:
- 检查系统上所有驱动器中的 Autorun.inf 文件。使用记事本打开每个文件,然后验证该文件是有效的 Autorun.inf 文件。下面是一个通常有效 Autorun.inf 文件的示例。
有效的 Autorun.inf 通常为 1 到 2 千字节(KB)。
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico - 删除看似无效的任意 Autorun.inf 文件。
- 重新启动计算机。
- 使隐藏的文件可见。为此,在命令提示符处键入以下命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
- 设置“显示隐藏文件和文件夹”,以便您可以看到该文件。若要执行此操作,请执行下列步骤:
- 在步骤 12b 中,记下恶意软件引用的 .dll 文件的路径。例如,记下类似于以下内容的路径:
%systemroot%\System32\doieuln.dll在 Windows 资源管理器中,打开 %systemroot%\System32 目录或包含该恶意软件的目录。
- 单击“工具”,然后单击“文件夹选项”。
- 单击“查看”选项卡。
- 选中“显示隐藏的文件和文件夹”复选框。
- 单击“确定”。
- 在步骤 12b 中,记下恶意软件引用的 .dll 文件的路径。例如,记下类似于以下内容的路径:
- 选择该 .dll 文件。
- 编辑文件的权限以添加“完全控制每个人”。为此,请按照下列步骤操作:
- 右键单击该 .dll 文件,然后单击“属性”。
- 单击“安全”选项卡。
- 单击“每个人”,然后单击选中“允许”列中的“完全控制”复选框。
- 单击“确定”。
- 删除恶意软件引用的 .dll 文件。例如,删除 %systemroot%\System32\doieuln.dll 文件。
- 使用服务 Microsoft 管理控制台(MMC)启用 BITS、自动更新、错误报告和 Windows Defender 服务。
- 关闭自动运行功能有助于降低任何再次感染的可能性。为此,请按照下列步骤操作:
- 根据您的环境,安装下列更新之一:
- 如果运行的是 Windows 2000、Windows XP 或 Windows Server 2003,则安装更新 967715。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
967715 (http://support.microsoft.com/kb/967715/ ) 如何禁用 Windows 中的自动运行功能
- 如果运行的是 Windows Vista 或 Windows Server 2008,则安装安全更新 950582。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
950582 (http://support.microsoft.com/kb/950582/ ) MS08-038:Windows 资源管理器中的漏洞可能允许远程执行代码
- 如果运行的是 Windows 2000、Windows XP 或 Windows Server 2003,则安装更新 967715。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
- 在命令提示符处键入下面的命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
- 根据您的环境,安装下列更新之一:
- 如果系统运行的是 Windows Defender,则重新启用 Windows Defender 自动启动位置。为此,请在命令提示符下键入以下命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
- 对于 Windows Vista 和较新的操作系统,恶意软件会将 TCP Receive Window Autotuning 的全局设置改为禁用。若要将此设置改回,请在命令提示符处键入以下命令:
netsh interface tcp set global autotuning=normal
- 自动启动位置之一未被删除。例如,AT 作业未被删除,或 Autorun.inf 文件未被删除。
- 安全更新 MS08-067 未正确安装。
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
回到顶端
验证该系统为干净系统
验证已启动以下服务:- 自动更新(wuauserv)
- 后台智能传输服务(BITS)
- Windows Defender (windefend)(如果适用)
- Windows 错误报告服务
Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc
每个命令运行后,您将会收到一条类似于以下内容的消息: 在此示例中,“STATE :4 RUNNING”表示该服务正在运行。
若要验证 SvcHost 注册表子项的状态,请执行以下步骤:
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- 在详细信息窗格中,单击 netsvcs,然后查看列出的服务名称。滚动到列表的底端。如果该计算机再次感染了 Conficker,将列出随机服务名称。例如,在此过程中,恶意软件服务的名称为“Iaslogon”。
49500
(http://support.microsoft.com/kb/49500/ ) 防病毒软件供应商列表
如果没有防病毒软件供应商,或您的防病毒软件供应商无法提供帮助,则与 Microsoft 客户支持服务联系获取更多帮助。
回到顶端
完全清理环境后
完全清理环境后,请执行以下步骤:- 重新启用服务器服务和任务计划程序服务。
- 还原 SVCHOST 注册表项和任务文件夹的默认权限。应使用组策略设置将此权限恢复到默认设置。如果仅删除策略,可能不会更改回默认权限。请参阅“缓解步骤”部分中的默认权限表了解详细信息。
- 通过安装任意遗漏的安全更新来更新计算机。为此,使用 Windows Update、Microsoft Windows Server Update Services (WSUS)服务器、Systems Management Server (SMS)、System Center Configuration Manager (SCCM) 或第三方更新管理产品。如果使用 SMS 或 SCCM,则必须首先重新启用服务器服务。否则,SMS 或 SCCM 可能无法更新系统。
回到顶端
如果在识别感染了 Conficker 的系统时遇到问题,则以下 TechNet 博客中提供的详细信息可能会对您有所帮助: http://blogs.techne...
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx(英文网页)
(http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx)
回到顶端
下表显示了每个操作系统的默认权限。这些权限在您应用本文中所建议的更改之前就存在。它们可能与您的环境中设置的权限有所不同。因此,必须在进行任何更改前记录下您的设置...
收起该表格
| 操作系统 | Windows Server 2008 | Windows Vista | Windows Server 2003 | Windows XP | Windows 2000 | |||||
|---|---|---|---|---|---|---|---|---|---|---|
| 设置 | Svchost 注册表 | 任务文件夹 | Svchost 注册表 | 任务文件夹 | Svchost 注册表 | 任务文件夹 | Svchost 注册表 | 任务文件夹 | Svchost 注册表 | 任务文件夹 |
| 帐户 | ||||||||||
| 管理员(本地组) | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 |
| 系统 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 | 完全控制 |
| 超级用户(本地组) | 不适用 | 不适用 | 不适用 | 不适用 | 读取 | 不适用 | 读取 | 不适用 | 读取 | 不适用 |
| 用户(本地组) | 特殊 | 不适用 | 特殊 | 不适用 | 读取 | 不适用 | 读取 | 不适用 | 读取 | 不适用 |
| 应用于:此项及子项 | 应用于:此项及子项 | |||||||||
| 查询值 | 查询值 | |||||||||
| 枚举子项 | 枚举子项 | |||||||||
| 通知 | 通知 | |||||||||
| 读取控制 | 读取控制 | |||||||||
| 经过身份验证的用户 | 不适用 | 特殊 | 不适用 | 特殊 | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 |
| 应用于:仅此文件夹 | 应用于:仅此文件夹 | |||||||||
| 遍历文件夹 | 遍历文件夹 | |||||||||
| 列出文件夹 | 列出文件夹 | |||||||||
| 读取属性 | 读取属性 | |||||||||
| 读取扩展属性 | 读取扩展属性 | |||||||||
| 创建文件 | 创建文件 | |||||||||
| 读取权限 | 读取权限 | |||||||||
| 备份操作员(本地组) | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 | 特殊 | 不适用 | 特殊 | ||
| 应用于:仅此文件夹 | 应用于:仅此文件夹 | |||||||||
| 遍历文件夹 | 遍历文件夹 | |||||||||
| 列出文件夹 | 列出文件夹 | |||||||||
| 读取属性 | 读取属性 | |||||||||
| 读取扩展属性 | 读取扩展属性 | |||||||||
| 创建文件 | 创建文件 | |||||||||
| 读取权限 | 读取权限 | |||||||||
| 每个用户 | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 | 特殊 |
| 应用于:此文件夹、子文件夹和文件 | ||||||||||
| 遍历文件夹 | ||||||||||
| 列出文件夹 | ||||||||||
| 读取属性 | ||||||||||
| 读取扩展属性 | ||||||||||
| 创建文件 | ||||||||||
| 创建文件夹 | ||||||||||
| 写入属性 | ||||||||||
| 写入扩展属性 | ||||||||||
| 读取权限 |
回到顶端