酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: 蜜蜂 於 2009-04-07 16:50

主題: [分享] Conficker C 解法之一
作者: 蜜蜂2009-04-07 16:50
前天公司一部 server 中了 Conficker C 型, 花了一個下午才解掉.
中毒徵狀:
1. Auto update / BITS / Error reporting service / Windows Defender 服務全被 disable
2. 防毒軟體公司/microsoft 網頁不能連  (透過 proxy 就 OK)
3. 防毒軟體提供的 remove 工具和 Wireshark 不能執行 (檔名改成與原檔名無關的,如 1.exe or 2.exe 就 OK)
4. 對外有 HTTP and P2P 連線(UDP)
5. 對內有 NETBIOS AUTH 猜密碼攻擊
如果有上述的所有特徵, 就是中了這隻新型的 Conficker.

我的解決方式:
1. 網路離線
2. 用 USB copy Microsoft KB958644 patch file 到 server 上, 檔名改掉(我是改成 1.exe).
3. 重上 2. 的 patch file
4. 重新開機

重上 patch 可以還原被病毒改掉的 dll file, 不過這只是我遇到的解法. 不一定適用所有人.