conficker A or B worm(蠕蟲)

張貼日期：Sep 22, 2015 9:48:39 AM

張貼者：2015年7月30日下午8:32朱光寧

資安通報：

各位同仁們好，昨日收到教育局資安通報，告知校內有主機遭受惡意程式Conficker A or B Worm感染。

Conficker 主要利用 Windows 平台的 MS08-067 漏洞感染主機，感染之後Conficker 會將自己安裝成為主機的常駐程式，並且封鎖系統和防毒軟體的更新，感染 Conficker 的主機由於這個原因，會連不上 Windows 以及防毒的更新頁面，使得偵測上極為困難。

防治方式：

校內同仁如有收到來路不明的檔案，請勿執行，避免感染。

檢測方式：

方法一：

IE清除快取的方式：

工具 → 網際網路選項 → 一般 → 瀏覽歷程紀錄 → 刪除（刪除後，連到下列防毒公司網站，如果連不上請告知資訊組）

IE取消proxy設定：

工具 → 網際網路選項 → 連線 → 區域網路設定 → 把proxy伺服器的勾勾取消

連上檢測網站：

說明：直接連線該網頁，透過網頁上面顯示之圖片可了解目前電腦感染狀況。如果上面三張圖片有全部無法顯示代表電腦可能感染 Conficker C或更新變種，只能顯示部分圖片代表電腦可能感染 Conficker A/B。然而，若自身的電腦有使用 PROXY 的話，便無法非常準確的判別。

方法二：

首先，要確定你的電腦是否真的感染了Conficker，感染了並不會有很多警訊，一個最快的方法是連線到防毒軟體公司的網站。

先清空瀏覽器的快取，IE 的 Temporary Internet Files，FireFox 的隱私資料。

IE清除快取的方式：

工具 → 網際網路選項 → 一般 → 瀏覽歷程紀錄 → 刪除（刪除後，連到下列防毒公司網站，如果連不上請告知資訊組）

IE取消proxy設定：

工具 → 網際網路選項 → 連線 → 區域網路設定 → 把proxy伺服器的勾勾取消

如果你可以連線到小紅傘Avira、Avast、AVG、或北京瑞星Beijing Rising 等防毒軟體公司的網站，表示您的電腦未被 Conficker 侵入，因為它會阻止到防毒公司的連線。

說明：

在今天早上10:50分已用防毒軟體公司所提供的掃描軟體，掃描校內虛擬網段所有開機主機，未發現感染電腦，為確保安全，如老師近日有帶私人電腦，或目前未開機的主機在近日內有使用，也有可能是中毒電腦，還請老師幫忙協助利用上述檢測方式檢測（執行紅色字部份的步驟）。

方法一若有未顯示的圖片，請直接點選未顯示圖片連結，如可以連上防毒公司的網站代表是ok，如果擔心還可檢查您電腦的windows更新是否可以順利進行，如有問題還請跟資訊組光寧聯繫（分機：212），非常謝謝大家。

參考資料：

網路相關conficker蠕蟲病毒介紹網站

會稽國中資訊組朱光寧敬上 104.07.31