小心Conficker變種蠕蟲! 台灣微軟:應盡速下載安全更新

(2009年01月14日,台北)台灣微軟於去年10月23日第一時間發佈重大資訊安全公告MS08-067,解決所有支援Windows作業系統版本server服務中所存在可能會允許遠端執行程式碼的弱點,成功遏阻了大規模駭客攻擊。但近來微軟發現,有蠕蟲透過使用者尚未更新MS08-067的安全弱點進行攻擊,而且也已產生出新的變種Worm:Win32/Conficker.B。台灣微軟提醒尚未安裝MS08-067安全更新的使用者,應盡速下載(http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx),以降低資安風險。目前各家防毒廠商已釋出病毒碼,但仍有災情傳出,若使用者電腦已遭受Win32/Conficker感染,可以利用微軟惡意軟體移除工具(http://www.microsoft.com/taiwan/security/malwareremove/default.mspx)徹底清除。

微軟最新版本惡意軟體移除工具 有效徹底清除Win32/Conficker
在過去幾個星期中,微軟緊急應變中心追蹤到Win32/Conficker產生出變種蠕蟲並且開始影響相當數量的使用者。這隻新的變種蠕蟲被定名為Worm:Win32/Conficker.B,除了會對還沒有完成安裝重大安全更新MS08-067的用戶造成影響外,還會利用其他多種方式進行攻擊。例如這隻變種蠕蟲會自行破解使用簡單密碼的網路分享,然後將惡意程式複製到網路分享資料匣之後,再感染其他使用者;此外,也會嘗試透過可攜式儲存設備(如USB)擴大感染範圍。針對近期的Conficker蠕蟲,微軟今天發佈最新版本惡意軟體移除工具http://www.microsoft.com/taiwan/security/articles/msrt0114.mspx。

由於Win32/Conficker透過多層次的偽裝與設計,企圖妨礙現行安全產品(如防毒軟體)的偵測與分析,因此相當不容易完全清除。當Worm:Win32/Conficker.B發作時,它會置換掉以下機碼中的存取權限HKLM\SYSTEM\CurrentControlSet\Services,同時間修改本機的存取控制清單 (Access Control List),只允許本機帳號可以存取,增加管理者遠端進行協助清除的困難度,便於後續其他惡意行為的進行,而針對這些伴隨蠕蟲攻擊產生的檔案,該蠕蟲會自動進行鎖定用來躲避任何可能性的存取、偵測分析、甚至防毒軟體的清除行為。

若使用者電腦已遭到Win32/Conficker感染,台灣微軟建議可採取以下修正步驟,以便完整清除感染:
1. 首先務必完成重大安全更新 MS08-067的安裝http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx。

2. 修改所有電腦上共享資料匣的密碼(請注意使用符合密碼複雜性原則,如採用數字與文字混雜的密碼,像是A1H6,以避免過於簡單的密碼遭蠕蟲破解)。

3. 請執行下載微軟惡意軟體移除工具MSRT來進行徹底的清除工作http://www.microsoft.com/taiwan/security/malwareremove/default.mspx。

由於在某些案例中,台灣微軟發現Win32/Conficker會阻斷Windows Update自動更新的網路存取,因此建議管理者可以手動下載,並且將下載後的工具放置於限制寫入的儲存空間,再分享給其他電腦進行清除動作。另外,台灣微軟也提供了企業內部如何有效利用MSRT清除以及完整的預防措施。詳細資訊請參閱以下連結:
http://support.microsoft.com/kb/890830、http://support.microsoft.com/kb/891716。

一月份安全公告及安全性補充程式
台灣微軟今(14)日也發佈了一月份安全公告及編號MS09-001的補充程式,是要主動避免駭客透過Microsoft產品惡意使用不當手法,導致遠端執行程式碼、允許權限提高或資訊洩漏所造成的損失。台灣微軟公司強烈呼籲所有客戶立即使用「Windows Update自動更新」功能隨時更新程式,避免惡意程式攻擊,或是立刻下載補充程式,以確保電腦使用的安全。本月的資訊安全相關摘要說明如下:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-jan.mspx

由於本月所發現Microsoft可能被攻擊的弱點,會造成有心人士藉由此弱點執行遠端程式碼、提高權限及資訊洩漏的問題,因此台灣微軟公司已開始積極聯絡相關客戶及合作夥伴,敦促他們立即部署MS09-001補充程式,將可能對客戶造成的不利影響降至最低。

另外,微軟於Windows Server Update Services (WSUS)、Windows Update(WU)及下載中心發行新版的 Microsoft Windows 惡意軟體移除工具。請注意,本工具將不會經由 Software Update Services (SUS) 散發。請參閱以下網址,取得有關 Microsoft Windows 惡意軟體移除工具的資訊:
http://www.microsoft.com/taiwan/security/malwareremove/default.mspx
http://www.microsoft.com/taiwan/security/malwareremove/families.mspx

Microsoft 今日也在 WU、MU及 WSUS 上發行非安全性高優先順序更新:如需有關今日發行的非安全性更新詳細資訊,請參閱下列知識庫文件:
http://support.microsoft.com/?id=894199

新發行的公告:

最高嚴重性

公告編號

受影響的產品

影響

重大 MS09-001 Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008。 允許遠端執行程式碼

MS09-001:SMB中的弱點可能會允許遠端執行程式碼 (958687)。最高嚴重性等級:重大。受影響的軟體:Microsoft Windows 2000 Service Pack 4, Windows XP Service Pack 2 及 Windows XP Service Pack 3, Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2, Windows Server 2003 Service Pack 1 與 Windows Server 2003 Service Pack 2, Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2, Windows Server 2003 SP1 for Itanium-based Systems 和 Windows Server 2003 SP2 for Itanium-based Systems, Windows Vista 和 Windows Vista Service Pack 1, Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1, 適用於 32 位元系統的 Windows Server 2008, 適用於x64型系統的 Windows Server 2008, 適用於 Itanium 型系統的 Windows Server 2008。
用戶可到以下網址下載更新程式:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-001.mspx

關於微軟
微軟公司成立於一九七五年,多年來在全球個人電腦與商用軟體、服務與網際網路技術上居領導地位。