作者 主題: [分享] Conficker C 解法之一  (閱讀 6693 次)

0 會員 與 1 訪客 正在閱讀本文。

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 276
  • 性別: 男
    • 檢視個人資料
[分享] Conficker C 解法之一
« 於: 2009-04-07 16:50 »
前天公司一部 server 中了 Conficker C 型, 花了一個下午才解掉.
中毒徵狀:
1. Auto update / BITS / Error reporting service / Windows Defender 服務全被 disable
2. 防毒軟體公司/microsoft 網頁不能連  (透過 proxy 就 OK)
3. 防毒軟體提供的 remove 工具和 Wireshark 不能執行 (檔名改成與原檔名無關的,如 1.exe or 2.exe 就 OK)
4. 對外有 HTTP and P2P 連線(UDP)
5. 對內有 NETBIOS AUTH 猜密碼攻擊
如果有上述的所有特徵, 就是中了這隻新型的 Conficker.

我的解決方式:
1. 網路離線
2. 用 USB copy Microsoft KB958644 patch file 到 server 上, 檔名改掉(我是改成 1.exe).
3. 重上 2. 的 patch file
4. 重新開機

重上 patch 可以還原被病毒改掉的 dll file, 不過這只是我遇到的解法. 不一定適用所有人.