張貼日期:Sep 22, 2015 9:48:39 AM
張貼者:2015年7月30日 下午8:32朱光寧
資安通報:
各位同仁們好,昨日收到教育局資安通報,告知校內有主機遭受惡意程式Conficker A or B Worm感染。
Conficker 主要利用 Windows 平台的 MS08-067 漏洞感染主機,感染之後Conficker 會將自己安裝成為主機的常駐程式,並且封鎖系統和防毒軟體的更新,感染 Conficker 的主機由於這個原因,會連不上 Windows 以及防毒的更新頁面,使得偵測上極為困難。
防治方式:
校內同仁如有收到來路不明的檔案,請勿執行,避免感染。
檢測方式:
方法一:
IE清除快取的方式:
工具 → 網際網路選項 → 一般 → 瀏覽歷程紀錄 → 刪除 (刪除後,連到下列防毒公司網站,如果連不上請告知資訊組)
IE取消proxy設定:
工具 → 網際網路選項 → 連線 → 區域網路設定 → 把proxy伺服器的勾勾取消
連上檢測網站:
網址:http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
說明:直接連線該網頁,透過網頁上面顯示之圖片可了解目前電腦感染狀況。如果上面三張圖片有全部無法顯示代表電腦可能感染 Conficker C或更新變種,只能顯示部分圖片代表電腦可能感染 Conficker A/B。然而,若自身的電腦有使用 PROXY 的話,便無法非常準確的判別。
方法二:
首先,要確定你的電腦是否真的感染了Conficker,感染了並不會有很多警訊,一個最快的方法是連線到防毒軟體公司的網站。
先清空瀏覽器的快取,IE 的 Temporary Internet Files,FireFox 的隱私資料。
IE清除快取的方式:
工具 → 網際網路選項 → 一般 → 瀏覽歷程紀錄 → 刪除 (刪除後,連到下列防毒公司網站,如果連不上請告知資訊組)
IE取消proxy設定:
工具 → 網際網路選項 → 連線 → 區域網路設定 → 把proxy伺服器的勾勾取消
如果你可以連線到小紅傘Avira、Avast、AVG、或 北京瑞星Beijing Rising 等防毒軟體公司的網站,表示您的電腦未被 Conficker 侵入,因為它會阻止到防毒公司的連線。
說明:
在今天早上10:50分已用防毒軟體公司所提供的掃描軟體,掃描校內虛擬網段所有開機主機,未發現感染電腦,為確保安全,如老師近日有帶私人電腦,或目前未開機的主機在近日內有使用,也有可能是中毒電腦,還請老師幫忙協助利用上述檢測方式檢測(執行紅色字部份的步驟)。
方法一若有未顯示的圖片,請直接點選未顯示圖片連結,如可以連上防毒公司的網站代表是ok,如果擔心還可檢查您電腦的windows更新是否可以順利進行,如有問題還請跟資訊組光寧聯繫(分機:212),非常謝謝大家。
參考資料:
網路相關conficker蠕蟲病毒介紹網站
http://sod.web.ym.edu.tw/front/bin/ptdetail.phtml?Part=990308&PreView=1
會稽國中 資訊組 朱光寧 敬上 104.07.31