飞客Conficker蠕虫彻底清除方案。通过监测数据显示,近期飞客蠕虫(Worm.Win32.Conficker.~)依旧活跃,这个困扰了网民两年多的蠕虫病毒正在国内互联网上飞速扩散,网上也出现了很多关于这个蠕虫的言论,其中大多数言论指向消极的方向,认为该蠕虫病毒无法彻底清除,杀毒软件不能查杀该病毒等等等等。
针对这些负面言论,笔者觉得有必要跟网民分享一下对该蠕虫的认识以及该如何彻底清除该蠕虫病毒,让网民远离该蠕虫病毒的困扰。
误区一:该蠕虫不能够被彻底清除。笔者说该蠕虫能够被彻底清除,只是你还没有掌握清除的方法。
误区二:杀毒软件无用,不能查杀该蠕虫病毒。笔者说各个主流杀毒软件都能够查杀该蠕虫病毒。
有网民看到这里该说了,我下载了各种各样的专杀工具和很多个杀毒软件来查杀该病毒,但是每次提示飞客蠕虫病毒已清除,过了一会儿又再次提示飞客蠕虫已被清除,这说明我的系统里感染的飞客蠕虫病毒是被清除了还是没被清除?笔者的答案是你系统里感染的飞客蠕虫也被清除了,也没有被清除。看到这里你也需非常疑惑,为什么这么说呢?别着急,请听笔者慢慢道来。
首先声明一点,飞客蠕虫病毒可以被彻底清除,能够对该蠕虫报警的杀毒软件也都能清除该蠕虫病毒。飞客蠕虫与以往的病毒运行机理有些不同,该蠕虫的病毒体仅仅是一个动态链接库(.dll)文件,不像以往的一些病毒,其病毒主体是一个可执行的.exe文件,exe文件在系统中运行后,要么释放出.dll或者.sys并将之加载到系统之中运行,加载完.dll或者.sys文件之后自己退出,让动态库(.dll)或者驱动(.sys)文件去执行病毒功能,要么什么也不释放,只是执行自身的病毒功能。
该蠕虫与他们的区别是,它只有一个.dll文件,所以当用户拿到一个飞客蠕虫样本时候,无论你把它的后缀改成.exe或者是其他的后缀名,都无法让该蠕虫顺利执行。那么它自身是通过什么方式来运行的呢?对windows熟悉的网民都知道,在windows系统中有一个rundll32.exe的可执行文件,它是干吗用的?从文件名看就知道,它是用来运行32位的dll文件的。
该蠕虫就是利用这个可执行文件加载运行的,rundll32.exe %path%*.dll ****** /*其中******是特定的参数*/,该蠕虫在系统中运行起来之后,首先会检查以下三个服务(a:Workstation、b:Server、c:Computer browser)是否启动,如果有其中一个服务未启动,则病毒功能终止,如果这三个服务都启动的话,则蠕虫启动相应的病毒功能,枚举局域网内的ip地址,并对每个存活的主机尝试进行MS08-067漏洞攻击,攻击成功后,将自身拷贝到被攻陷的系统中并在内存中执行。
针对它的特点,聪明一些的网民应该已经意识到为什么自己的杀软总是提示飞客蠕虫已经被清除。不是自己的杀毒软件没用,而是因为杀毒软件刚刚清除掉系统中的病毒体,局域网内的其他被感染的主机就再一次把病毒体拷贝到你的机器上并运行。
那么针对该蠕虫的特点,我们可以总结出以下完美解决方案:
1.断网,如果是局域网的话,把所有电脑的网线全部拔掉;
2.针对单台计算机进行病毒清除工作(目前这个病毒的所有变种主流的杀毒软件都能够查杀,只是因为查杀之后,病毒又从其他主机感染刚刚被清除了病毒体的主机,导致杀毒软件不断的发现该病毒,用户以为该杀软无法清除该病毒,这是误区之一。);
3.关闭以下三个服务:a:Workstation、b:Server、c:Computer browser;(注:这三项服务是飞客蠕虫得以在局域网内传播的前提条件。)
4.局域网内每台主机都开启windows自带的防火墙,有其他防火墙软件的也一并开启,把MS08-067补丁打好。
5.接通网线,开始正常工作。
注:一定要针对每一台主机按照以上5步操作,当然这是一个重复的过程,比较繁琐,但是还是要请网络管理人员能够认真执行,通过以上的操作,局域网内则可以拒绝飞客蠕虫于内网之外
