[url]http://support.microsoft.com/kb/962007[/url]
微软在一月十四日发布一个严重级别的安全补丁.
MS09-001 SMB 中的漏洞可能允许远程执行代码 (958687)
相关信息请参考一月份安全补丁公告摘要:
[url]http://www.microsoft.com/china/technet/sec...n/MS09-jan.mspx[/url]
目前为止并无已知问题, 建议各位尽快测试安装.
此外, 关于日前许多企业遇到的 Conficker 蠕虫, 在一月份的 Microsoft Windows Malicious Software Removal Tool (MSRT)
已经可以检测清除. 若您的企业中有 Conficker 感染状况, 请多利用该工具进行大量清除动作.
一般使用者除了使用 MSRT 外, 并建议利用微软免费线上杀毒工具进行全面清查: [url]http://safety.live.com[/url]
关于 MSRT
- 详细介绍与下载: [url]http://support.microsoft.com/kb/890830/[/url]
- 企业中如何利用 MSRT 大量清除恶意代码: [url]http://support.microsoft.com/kb/891716[/url]
关于 Conficker 蠕虫
去年十月微软公布 MS08-067 重大安全补丁来解决 Server service 弱点可能导致远程代码执行攻击。
当时网络上已出现 Conficker.A 蠕虫, 或许是没有造成大量的感染,所以许多公司仍尚未安装该补丁。
自从去年十二月底开始, 全球的微软技术支持中心近来接到很多企业用户提交的紧急问题,经证实皆网路上出现 Conficker 变
种蠕虫有关并定名为 Conficker.B,详细分析可参考:
[url]http://www.microsoft.com/security/portal/E...2%2fConficker.B[/url]
感染 Conficker 的企业中可能会有以下类似状况:
- 大量账号无故被锁定
- 域控制器 (Domain Controller) CPU 使用量偏高
- 内网拥堵
有这些征状是因为 Conficker 共使用几种方式进行攻击渗透:
1. 先利用 MS08-067 漏洞进行感染
2. 感染后对环境进行字典攻击
3. Http Call back 下载
故环境中只要有一台机器未安装 MS08-067 就有可能被该蠕虫渗透.
被渗透的环境中 Conficker 仍会对任何机器 (包含已安装补丁的机器) 进行字典攻击 (例如共享资源).
所以要防止近一步感染的步骤也包含使用复杂密码原则.
防范 Conficker 的最佳实践:
1. 在每一台机器安装 MS08-067
2. 域环境下使用复杂密码 (包含共享资源也需要使用复杂密码)
3. 确认贵公司杀毒软件是否有能力查杀 Conficker 后进行全面杀毒
4. 禁用 Autorun 或 Autoplay 功能
参考资讯:
1. Microsoft Conficker.B Information:
[url]http://www.microsoft.com/security/portal/E...2%2fConficker.B[/url]
2. Microsoft Malware Protection Center blog:
[url]http://blogs.technet.com/mmpc/archive/2009...nd-banload.aspx[/url]
如果计算机感染了此蠕虫,您可能感觉不到任何症状,也可能会感觉到以下症状:
- 账户锁定策略失效。
- 自动更新、后台智能传送服务(BITS)、Windows Defender 和错误报告服务被禁用。
- 域控制器响应客户端请求的速度慢。
- 网络出现拥塞。
- 无法访问多个安全相关性网站。
有关 Win32/Conficker.b 的详细信息,请访问以下 Microsoft 恶意软件防护中心网页:
[url]http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker[/url]
([url]http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker[/url])
Win32/Conficker.B 有多种传播方法。这些方法包括:
- 攻击安全更新 958644 (MS08-067)修补的漏洞
- 使用网络共享
- 使用自动播放功能
因此,清理网络时必须小心,以便威胁不会再次引入到之前已清理的系统中。
运行恶意软件删除工具
Microsoft 恶意软件防护中心已更新恶意软件删除工具(MSRT)。这是一个独立的二进制文件,有助于删除流行的恶意软件以及 Win32/Conficker 恶意软件家族。
您可从以下任一 Microsoft 网站下载 MSRT:
[url]http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=zh-cn[/url]
([url]http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=zh-cn[/url])
[url]http://support.microsoft.com/kb/890830[/url]
([url]http://support.microsoft.com/kb/890830[/url])
有关 MSRT 特定部署详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
891716
([url]http://support.microsoft.com/kb/891716/[/url] ) 在企业环境中部署 Microsoft Windows 恶意软件删除工具
注意独立系统清理程序还将删除该感染。该工具可作为 Microsoft Desktop Optimization Pack 6.0 或客户服务和支持中的一个组件。若要获取 Microsoft 桌面优化数据包,请访问以下 Microsoft 网站:
[url]http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx[/url]
([url]http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx[/url])
如果 Windows Live OneCare 或 Microsoft Forefront Client Security 在系统上运行,则安装该数据包之前这些程序还会阻止威胁。
删除 Conficker.b 变量的手动步骤
以下详细步骤有助于您手动删除系统中的 Conficker.b:
- 使用本地帐户登录到系统。
重要信息请勿使用域帐户登录到系统(如有可能)。特别是,不要使用域管理员帐户登录。恶意软件使用已登录用户凭据模拟已登录用户并访问网络资源。该行为允许恶意软件传播。
- 停止服务器服务。该操作删除系统中的管理员共享,以便恶意软件无法使用该方法传播。
注意清理环境中的恶意软件时,应仅暂时禁用服务器服务。对于生产服务器尤其是这样,原因是该步骤会影响网络资源可用性。环境清理后,可立即重新启用服务器服务。
若要停止服务器计划程序服务,请使用服务 Microsoft 管理控制台(MMC)。为此,请按照下列步骤操作:
- 根据您的系统,请执行以下操作:
- 在 Windows Vista 和 Windows Server 2008 中,单击“开始”,在“开始搜索”框中键入 services.msc,然后单击“程序”列表中的 services.msc。
- 在 Windows 2000、Windows XP 和 Windows Server 2003 中,请依次单击“开始”、“运行”,键入 services.msc,然后单击“确定”。
- 双击“服务器”。
- 单击“停止”。
- 在“启动类型”框中选择“已禁用”。
- 单击“应用”。
- 停止任务计划程序服务。
- 下载安全更新 958644 (MS08-067)并进行手动安装。有关更多信息,请访问下面的 Microsoft 网站:
[url]http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx[/url]
([url]http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx[/url])
注意可能会由于恶意软件感染阻止该站点。在该方案中,必须通过未感染的计算机下载更新,然后将该更新文件传送到已感染的系统。建议您将更新刻录到 CD 中,原因是刻录的 CD 不可写。因此,它无法被感染。如果可刻录的 CD 驱动器不可用,则可移动的 USB 内存驱动器可能是将更新复制到已感染系统的唯一方法。如果使用可移动驱动器,则注意恶意软件可以感染带有 Autorun.inf 文件的驱动器。将更新复制到可移动驱动器后,请确保将驱动器更改为只读模式,如果设备具有该选项。如果只读模式可用,则通常使用设备上的物理开关启用。因此,将更新文件复制到已感染的计算机后,请检查可移动驱动器以查看 Autorun.inf 文件是否已写入到该驱动器。如果是,则将 Autorun.inf 文件重命名为类似于 Autorun.bad 的名称,以便将可移动驱动器连接到计算机时该文件不会运行。
- 重置本地管理员和域管理员密码以便使用新的强密码。有关更多信息,请访问下面的 Microsoft 网站:
[url]http://technet.microsoft.com/zh-cn/library/cc875814.aspx[/url]
([url]http://technet.microsoft.com/zh-cn/library/cc875814.aspx[/url])
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- 在详细信息窗格中,右键单击“netsvcs”项,然后单击“修改”。
- 滚动到列表的底端。如果计算机感染了 Conficker.b,则将列出随机服务名称。例如,在该过程中,假定恶意软件服务的名称为“gzqmiijz”。记下恶意软件服务的名称。稍后您将需要此过程中的此信息。
- 删除包含恶意软件服务参考的行。请确保将列出的最后合法项下的换行保留为空,然后单击“确定”。
注意以下列表中的所有项都有效。请勿删除这些项中的任意项。必须删除项的名称将会随机生成,且该项是列表中的最后一项。
AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi WmdmPmSp winmgmt wuauserv BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc axyczbfsetg
- 限制 SVCHOST 注册表项的权限,以便无法再次写入该项。为此,请按照下列步骤操作。
注意
- 必须在完全清理环境后还原默认权限。
- 在 Windows 2000 中,必须使用 Regedt32 设置注册表权限。
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
- 右键单击 Svchost 子项,然后单击“权限”。
- 在“SvcHost 权限项”对话框中,单击“高级”。
- 在“高级”对话框中,单击“添加”。
- 在“选择用户、计算机或组”对话框中,键入 Everyone,然后单击“选择名称”。
- 单击“确定”。
- 在“SvcHost 权限项”对话框中,选择“应用到”列表中的“仅此项”,然后单击选择“拒绝”对话框中的“设置值”权限项。
- 单击“确定”两次。
- 在出现安全警告提示时,单击“是”。
- 单击“确定”。
- 在前面的过程中,您已记下恶意软件服务的名称。在示例中,恶意软件项的名称为“gzqmiijz”。使用该信息,按照下列步骤操作:
- 在注册表编辑器中,找到并单击以下注册表子项,其中 BadServiceName 是恶意软件服务的名称:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
例如,找到并单击以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
- 右键单击导航窗格中恶意软件服务名称的子项,然后单击“权限”。
- 在“SvcHost 权限项”对话框中,单击“高级”。
- 在“高级安全设置”对话框中,单击选择以下两个对话框:
从应用到子对象的父权限项继承。包括那些在此明确定义的项目”。
使用此处显示的应用到子对象的项替换所有子对象上的权限项
- 按 F5 更新注册表编辑器。在详细信息窗格中,现在可以看到并编辑加载为“ServiceDll”的恶意软件 DLL。为此,请执行以下步骤:
- 双击 ServiceDll 项。
- 记下参考 DLL 的路径。稍后您将需要此过程中的此信息。例如,参考 DLL 的路径可能类似于以下内容:
%SystemRoot%\System32\emzlqqd.dll
将参考重命名为类似于以下内容:
%SystemRoot%\System32\emzlqqd.old
- 单击“确定”。
- 从注册表中的“运行”子项删除恶意软件服务项。
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 在两个子项中,找到以“rundll32.exe”开头的任意项,还参考加载为在步骤 12b 中发现的“ServiceDll”的恶意软件 DLL。删除该项。
- 退出注册表编辑器,然后重新启动计算机。
- 检查系统上所有驱动器中的 Autorun.inf 文件。使用记事本打开每个文件,然后验证该文件是有效的 Autorun.inf 文件。下面是一个通常有效 Autorun.inf 文件的示例。
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
有效的 Autorun.inf 通常为 1 到 2 千字节(KB)。
- 删除看似无效的任意 Autorun.inf 文件。
- 重新启动计算机。
- 使隐藏的文件可见。为此,在命令提示符处键入以下命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
- 设置“显示隐藏的文件和文件夹”,以便您可以看见该文件。为此,请按照下列步骤操作:
- 在步骤 12b 中,已记下恶意软件的参考 DLL 文件的路径。例如,已记下类似于以下内容的路径:
%systemroot%\System32\emzlqqd.dll
在 Windows 资源管理器中,打开 %systemroot%\System32 目录,或包含恶意软件的目录。
- 单击“工具”,然后单击“文件夹选项”。
- 单击“查看”选项卡。
- 选中“显示隐藏的文件和文件夹”复选框。
- 单击“确定”。
- 选择该 DLL 文件。
- 编辑文件的权限以添加“完全控制每个人”。为此,请按照下列步骤操作:
- 右键单击该 DLL 文件,然后单击“属性”。
- 单击“安全”选项卡。
- 单击“每个人”,然后单击选中“允许”列中的“完全控制”复选框。
- 单击“确定”。
- 删除恶意软件的参考 DLL 文件。例如,删除 %systemroot%\System32\emzlqqd.dll 文件。
- 删除所有创建 AT 的计划任务。为此,请在命令提示符处键入 AT /Delete /Yes。
- 使用服务 Microsoft 管理控制台(MMC)启用 BITS、自动更新、错误报告和 Windows Defender 服务。
- 关闭自动运行功能有助于降低任何再次感染的可能性。为此,请按照下列步骤操作:
- 根据您的环境,安装下列更新之一:
注意更新 953252 和安全更新 950582 与该恶意软件问题不相关。必须安装这些更新以启用步骤 23b 中的注册表功能。
- 在命令提示符处键入下面的命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
- 如果系统运行的是 Windows Defender,则重新启用 Windows Defender 自动启动位置。为此,请在命令提示符下键入以下命令:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe �Chide" /f
- 对于 Windows Vista 和较新的操作系统,恶意软件将 TCP Receive Window Auto-tuning 的全局设置改为已禁用。若要将此设置改回,请在命令提示符处键入以下命令:
netsh interface tcp set global autotuning=normal
如果在完成该过程后,计算机看似已再次感染,则以下条件之一可能为真:
- 自动启动位置之一未被删除。例如,AT 作业未被删除,或 Autorun.inf 文件未被删除。
- 安全更新 MS08-067 未正确安装
该知识库文章中未提及该恶意软件可能更改其他设置的内容。请访问以下 Microsoft 恶意软件防护中心网页获取有关 Win32/Conficker.b 的最新详细信息:
[url]http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker[/url]
([url]http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker[/url])
验证该系统为干净系统
验证已启动以下服务:
- 自动更新(wuauserv)
- 后台智能传输服务(BITS)
- Windows Defender (windefend)(如果适用)
- Windows 错误报告服务
为此,请在命令提示符下键入以下命令。在键入每个命令后按 Enter:
Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc
每个命令运行后,您将会收到一条类似于以下内容的消息:
SERVICE_NAME:wuauserv
TYPE :20 WIN32_SHARE_PROCESS
STATE :4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE :0 (0x0)
SERVICE_EXIT_CODE :0 (0x0)
CHECKPOINT :0x0
WAIT_HINT :0x0
在此示例中,“STATE :4 RUNNING”表示该服务正在运行。
若要验证 SvcHost 注册表子项的状态,请执行以下步骤:
- 在注册表编辑器中,找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
- 在详细信息窗格中,单击 netsvcs,然后查看列出的服务名称。滚动到列表的底端。如果计算机再次感染了 Conficker.b,则将列出随机服务名称。例如,在该过程中,恶意软件服务的名称为“gzqmiijz”。
如果这些步骤未解决该问题,则与您的防病毒软件供应商联系。 有关此问题的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
49500
([url]http://support.microsoft.com/kb/49500/[/url] ) 防病毒软件供应商列表
如果没有防病毒软件供应商,或您的防病毒软件供应商无法提供帮助,则与 Microsoft 客户支持服务联系获取更多帮助。
完全清理环境后
完全清理环境后,请执行以下操作:
- 再次启用服务器服务。
- 还原 SVCHOST 注册表项的默认权限。
- 通过安装任意遗漏的安全更新来更新计算机。为此,使用 Windows Update、Microsoft Windows Server Update Services (WSUS)服务器、Systems Management Server (SMS)、System Center Configuration Manager (SCCM) 或第三方更新管理产品。如果使用 SMS 或 SCCM,则必须首先重新启用服务器服务。否则,SMS 或 SCCM 可能无法更新系统。