Ãö©ó Win32/Conficker.B Ä¯ÂÎªº¯f¬rÄµ°T

關於 Win32/Conficker.B 蠕蟲的病毒警訊

http://support.microsoft.com/kb/962007/zh-tw

感染徵狀：

如果電腦受到此蠕蟲感染，您可能不會遇到任何徵狀，或者可能會遇到下列其中一種徵狀：

已達到帳戶鎖定原則。
自動更新、背景智慧型傳送服務 (BITS)、Windows Defender 及錯誤報告服務均已停用。
網域控制站回應用戶端要求的速度變慢。
網路擁塞。
無法存取各種與安全性相關的網站。

如需有關 Win32/Conficker.b 的詳細資訊，請造訪下列 Microsoft 惡意軟體防護中心網頁 (英文)：

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

傳播方法：

Win32/Conficker.B 具有多種傳播方法。這些方法包括：

入侵透過安全性更新 958644 (MS08-067) 進行修補的弱點
使用網路共用
使用自動播放功能

因此，當您清除網路時必須非常小心，以免將威脅重新引入先前已經清除過的系統。

修復：

執行惡意軟體移除工具

Microsoft 惡意軟體防護中心已經更新惡意軟體移除工具 (MSRT)。

這是一個獨立的二進位檔，在移除常見的惡意軟體時非常有用，可協助移除 Win32/Conficker 惡意軟體系列。

您可以從下列任一個 Microsoft 網站下載 MSRT：

http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=zh-tw
http://support.microsoft.com/kb/890830

如需 MSRT 特定部署詳細資料的詳細資訊，請按一下下面的文件編號，檢視「Microsoft 知識庫」中的文件：

891716 在企業環境中部署 Microsoft Windows 惡意軟體移除工具

注意「獨立系統清理工具」也會移除此感染。

此工具可以做為 Microsoft Desktop Optimization Pack 6.0 的元件使用，或者透過「客戶服務及支援」取得。

若要取得 Microsoft Desktop Optimization Pack，請造訪下列 Microsoft 網站：

http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx (英文)

如果系統上正在執行 Windows Live OneCare 或 Microsoft Forefront Client Securit，這些程式也會在安裝威脅之前將威脅封鎖。

移除 Conficker.b 變數的手動步驟

下列詳細步驟可以協助您從系統手動移除 Conficker.b：

使用本機帳戶登入系統。

重要如果可以的話，請勿使用「網域」帳戶登入系統。
尤其是不要使用「網域管理員」帳戶進行登入。
惡意軟體會模擬登入的使用者，並使用登入使用者的認證來存取網路資源。
此行為會造成惡意軟體的散佈。
停止伺服器服務。
這樣便可以從系統移除系統管理共用，讓惡意軟體無法使用此方法進行散佈。

注意只有當您在環境中清除惡意軟體時，才能暫時停用伺服器服務。
這對實際執行伺服器來說更是如此，因為此步驟會影響網路資源的可用性。
一旦清除環境之後，就可以重新啟用伺服器服務。

若要停止伺服器排程器服務，請使用服務 Microsoft Management Console (MMC)。
如果要執行這項操作，請依照下列步驟執行：
1. 根據您的系統，執行下列操作：
  - 在 Windows Vista 和 Windows Server 2008 中，按一下 [開始]，在 [開始搜尋] 方塊中輸入 services.msc，然後按一下 [程式集] 清單中的 services.msc。
  - 在 Windows 2000、Windows XP 及 Windows Server 2003 中，依序按一下 [開始]、[執行]，輸入 services.msc，然後按一下 [確定]。
2. 按兩下 [伺服器]。
3. 按一下 [停止]。
4. 在 [啟動類型] 方塊中，選取 [停用]。
5. 按一下 [套用]。
停止工作排程器服務。
- 若要在 Windows 2000、Windows XP 及 Windows Server 2003 中停止工作排程器服務，請使用服務 Microsoft Management Console (MMC) 或 SC.exe 公用程式。
- 若要在 Windows Vista 或 Windows Server 2008 中停止工作排程器服務，請依照下列步驟執行。
  
  重要這個章節、方法或工作包含修改登錄的步驟。
  然而，如果您不當修改登錄，可能會發生嚴重的問題。
  因此，請務必小心執行這些步驟。為加強保護，修改登錄之前，請務必將它備份起來。
  以後您就可以在發生問題時還原登錄。
  
  如需有關如何備份和還原登錄的詳細資訊，請按一下下面的文件編號，檢視「Microsoft 知識庫」中的文件：
  322756 如何在 Windows 中備份及還原登錄
  1. 按一下 [開始]，在 [開始搜尋] 方塊中輸入 regedit，然後按一下 [程式集] 清單中的 regedit.exe。
  2. 找出並按一下下列登錄子機碼：
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
  3. 在詳細資料窗格中，用滑鼠右鍵按一下 [開始] DWORD 項目，然後按一下 [修改]。
  4. 在 [數值資料] 方塊中，輸入 4，然後按一下 [確定]。
  5. 結束「登錄編輯程式」，然後重新啟動電腦。
下載並手動安裝安全性更新 958644 (MS08-067)。

如需詳細資訊，請造訪下列 Microsoft 網站：
http://www.microsoft.com/taiwan/technet/security/bulletin/MS08-067.mspx (英文)
注意此網站可能會因為惡意軟體感染而遭到封鎖。在此情況下，您必須從未受感染的電腦下載更新，然後將更新的檔案傳送到受感染的系統。我們建議您將更新燒錄成 CD，因為燒錄的 CD 是不可寫入的。因此，它不會受到感染。如果沒有可燒錄的 CD 光碟機，則唯一可行的方法可能是使用卸除式 USB 記憶體磁碟機，將更新複製到受感染的系統。如果您使用卸除式磁碟機，請注意，惡意軟體會利用 Autorun.inf 檔案來感染該磁碟機。當您將更新複製到卸除式磁碟機之後，如果您的裝置提供唯讀模式選項，請務必將該磁碟機變更為唯讀模式。如有提供唯讀模式，通常是使用裝置上的實體開關來啟用。然後，當您將更新的檔案複製到受感染的電腦之後，請檢查卸除式磁碟機，查看該磁碟機中是否已寫入 Autorun.inf 檔案。如果已寫入，請將 Autorun.inf 檔案重新命名為像 Autorun.bad 這樣的檔案名稱，如此一來，該檔案就不會在卸除式磁碟機連線至電腦時執行。
請重設所有的本機管理員和網域管理員密碼，才能使用新的強式密碼。

如需詳細資訊，請造訪下列 Microsoft 網站 (英文)：
http://technet.microsoft.com/zh-tw/library/cc875814.aspx
在「登錄編輯程式」中，找出並按一下下列登錄子機碼：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
在詳細資料窗格中，用滑鼠右鍵按一下 netsvcs 項目，然後按一下 [修改]。
向下捲動至清單的底部。如果電腦受到 Conficker.b 感染，將會列出隨機的服務名稱。
例如，在此程序中，我們將惡意軟體服務的名稱假設為「gzqmiijz」。
請記下此惡意軟體服務的名稱。您稍後將需要在此程序中用到此資訊。

請刪除含有惡意軟體服務參照的行。
請確定您在列出的最後一個合法項目下方保留一個空白換行字元，然後按一下 [確定]。

注意下列清單中的所有項目均有效。請勿刪除其中任一項目。
必須刪除的項目為清單中最後一個隨機產生的名稱項目。

AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi WmdmPmSp winmgmt wuauserv BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc axyczbfsetg

限制 SVCHOST 登錄機碼上的權限，這樣一來，它便無法再次寫入。
如果要執行這項操作，請依照下列步驟執行。

注意
- 您必須在完全清除環境之後，還原預設權限。
- 在 Windows 2000 中，您必須使用 Regedt32 來設定登錄權限。
1. 在「登錄編輯程式」中，找出並按一下下列登錄子機碼：
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. 用滑鼠右鍵按一下 Svchost 子機碼，然後按一下 [權限]。
3. 在 [SvcHost 的權限項目] 對話方塊中，按一下 [進階]。
4. 在 [進階] 對話方塊中，按一下 [新增]。
5. 在 [選取使用者、電腦或群組] 對話方塊中，輸入 everyone，然後按一下 [檢查名稱]。
6. 按一下 [確定]。
7. 在 [SvcHost 的權限項目] 對話方塊中，於 [套用在] 清單中選取 [只有這個機碼]，然後按一下以選取 [設定數值] 權限項目的 [拒絕] 核取方塊。
8. 按兩次 [確定]。
9. 當您收到安全性警告提示時，按一下 [是]。
10. 按一下 [確定]。
在上一個程序中，您已記下惡意軟體服務的名稱。
在我們的範例中，惡意軟體項目的名稱為「gzqmiijz」。
若要使用這項資訊，請依照下列步驟執行：
1. 在「登錄編輯程式」中，找出並按一下下列登錄子機碼，BadServiceName 即為惡意軟體服務的名稱：
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
  例如，找出並按一下下列登錄子機碼：
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
2. 在惡意軟體服務名稱的瀏覽窗格中，用滑鼠右鍵按一下子機碼，然後按一下 [權限]。
3. 在 [SvcHost 的權限項目] 對話方塊中，按一下 [進階]。
4. 在 [進階安全性設定] 對話方塊中，按一下以同時選取下列核取方塊：
  [從父項繼承套用至子物件的權限項目]、
  [包括含有此處明確定義之項目的這些項目]、
  [以顯示於此套用到子物件的項目，取代所有子項物件上的權限項目]。
按下 F5 以更新「登錄編輯程式」。
您現在可以在詳細資料窗格中，看見並編輯載入為「ServiceDll」的惡意軟體 DLL。
如果要執行這項操作，請依照下列步驟執行：
1. 按兩下 ServiceDll 項目。
2. 記下參照的 DLL 路徑。您稍後將需要在此程序中用到此資訊。
  例如，參照的 DLL 路徑可能如右所示：%SystemRoot%\System32\emzlqqd.dll
  將參照重新命名為類似右列項目：%SystemRoot%\System32\emzlqqd.old
3. 按一下 [確定]。
從登錄中的 [執行] 子機碼移除惡意軟體服務項目。
1. 在「登錄編輯程式」中，找出並按一下下列登錄子機碼：
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. 在這兩個子機碼中，找出任何「rundll32.exe」開頭的項目，同時參照您在步驟 12b 中所指出載入為「ServiceDll」的惡意軟體 DLL。刪除項目。
3. 結束「登錄編輯程式」，然後重新啟動電腦。
在系統的每一磁碟機上檢查是否有 Autorun.inf 檔案。
使用「記事本」開啟每個檔案，然後確認該檔案為有效的 Autorun.inf 檔案。
以下是有效的 Autorun.inf 檔案的典型範例。
[autorun] shellexecute=Servers\splash.hta *DVD* icon=Servers\autorun.ico
有效的 Autorun.inf 通常為 1 至 2 KB。
刪除任何看似無效的 Autorun.inf 檔案。
重新啟動電腦。
顯示隱藏的檔案。如果要執行這項操作，請在命令提示字元中輸入下列命令：
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
設定 [顯示隱藏的檔案及資料夾]，讓您可以看見檔案。如果要執行這項操作，請依照下列步驟執行：
1. 在步驟 12b 中，您已記下惡意軟體的參照 DLL 檔案路徑。
  例如，您已記下類似右列的路徑：%systemroot%\System32\emzlqqd.dll
  在 Windows 檔案總管中，開啟 %systemroot%\System32 目錄，或含有惡意軟體的目錄。
2. 按一下 [工具]，然後按一下 [資料夾選項]。
3. 按一下 [檢視] 索引標籤。
4. 選取 [顯示隱藏的檔案及資料夾] 核取方塊。
5. 按一下 [確定]。
選取 DLL 檔案。
編輯檔案上的權限，以新增 [所有人] 的 [完全控制]。
如果要執行這項操作，請依照下列步驟執行：
1. 用滑鼠右鍵按一下 DLL 檔案，然後按一下 [內容]。
2. 按一下 [安全性] 索引標籤。
3. 按一下 [所有人]，然後按一下以選取 [允許] 欄中的 [完全控制] 核取方塊。
4. 按一下 [確定]。
刪除惡意軟體的參照 DLL 檔案。
例如，刪除 %systemroot%\System32\emzlqqd.dll 檔案。
移除所有 AT 建立的排定工作。
如果要執行這項操作，請在命令提示字元中輸入 AT /Delete /Yes。
使用服務 Microsoft Management Console (MMC) 以啟用 BITS、自動更新、錯誤報告及 Windows Defender 服務。
關閉「自動執行」，協助將再次感染的影響降低。如果要執行這項操作，請依照下列步驟執行：
1. 依據您的系統，安裝下列其中一個更新：
  - 如果您執行的是 Windows 2000、Windows XP 或 Windows Server 2003，請安裝更新 953252。
    如需詳細資訊，請按一下下面的文件編號，檢視「Microsoft 知識庫」中的文件：
    953252 如何在 Windows 中更正「停用自動執行登錄機碼」增強功能
  - 如果您執行的是 Windows Vista 或 Windows Server 2008，請安裝安全性更新 950582。
    如需詳細資訊，請按一下下面的文件編號，檢視「Microsoft 知識庫」中的文件：
    950582 MS08-038：Windows 檔案總管的弱點可能會允許遠端程式碼執行
  注意更新 953252 和安全性更新 950582 與此惡意軟體問題無關。
  必須安裝這些更新，才能在步驟 23b 中啟用登錄功能。
2. 在命令提示字元中輸入下列命令：
  reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
如果系統正在執行 Windows Defender，請重新啟用 Windows Defender 自動啟動位置。
如果要執行這項操作，請在命令提示中輸入下列命令：
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
若為 Windows Vista 和較新版的作業系統，惡意軟體會將「TCP 接收視窗自動調整」的通用設定變更為停用。
若要變更回此設定，請在命令提示字元中輸入下列命令：
netsh interface tcp set global autotuning=normal