小心 Conficker 變種蠕蟲! 台灣微軟:應盡速下載安全更新
台灣微軟發佈一月定期安全公告 安全補充程式編號 MS09-001
(2009 年 01 月 14 日,台北) 台灣微軟於去年 10 月 23 日第一時間發佈重大資訊安全公告 MS08-067,解決所有支援 Windows 作業系統版本 server 服務中所存在可能會允許遠端執行程式碼的弱點,成功遏阻了大規模駭客攻擊。但近來微軟發現,有蠕蟲透過使用者尚未更新 MS08-067 的安全弱點進行攻擊,而且也已產生出新的變種 Worm:Win32/Conficker.B。台灣微軟提醒尚未安裝 MS08-067 安全更新的使用者,應盡速下載 (http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx),以降低資安風險。目前各家防毒廠商已釋出病毒碼,但仍有災情傳出,若使用者電腦已遭受 Win32/Conficker 感染,可以利用微軟惡意軟體移除工具 (http://www.microsoft.com/taiwan/security/malwareremove/default.mspx) 徹底清除。
微軟最新版本惡意軟體移除工具 有效徹底清除 Win32/Conficker
在過去幾個星期中,微軟緊急應變中心追蹤到 Win32/Conficker 產生出變種蠕蟲並且開始影響相當數量的使用者。這隻新的變種蠕蟲被定名為 Worm:Win32/Conficker.B,除了會對還沒有完成安裝重大安全更新 MS08-067 的用戶造成影響外,還會利用其他多種方式進行攻擊。例如這隻變種蠕蟲會自行破解使用簡單密碼的網路分享,然後將惡意程式複製到網路分享資料匣之後,再感染其他使用者;此外,也會嘗試透過可攜式儲存設備(如 USB)擴大感染範圍。針對近期的 Conficker 蠕蟲,微軟今天發佈最新版本惡意軟體移除工具 http://www.microsoft.com/taiwan/security/articles/msrt0114.mspx。
由於 Win32/Conficker 透過多層次的偽裝與設計,企圖妨礙現行安全產品(如防毒軟體)的偵測與分析,因此相當不容易完全清除。當 Worm:Win32/Conficker.B 發作時,它會置換掉以下機碼中的存取權限 HKLM\SYSTEM\CurrentControlSet\Services,同時間修改本機的存取控制清單 (Access Control List),只允許本機帳號可以存取,增加管理者遠端進行協助清除的困難度,便於後續其他惡意行為的進行,而針對這些伴隨蠕蟲攻擊產生的檔案,該蠕蟲會自動進行鎖定用來躲避任何可能性的存取、偵測分析、甚至防毒軟體的清除行為。
若使用者電腦已遭到 Win32/Conficker 感染,台灣微軟建議可採取以下修正步驟,以便完整清除感染:
1. | 首先務必完成重大安全更新 MS08-067 的安裝 http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-067.mspx。 |
2. | 修改所有電腦上共享資料匣的密碼(請注意使用符合密碼複雜性原則,如採用數字與文字混雜的密碼,像是 A1H6,以避免過於簡單的密碼遭蠕蟲破解)。 |
3. | 請執行下載微軟惡意軟體移除工具 MSRT 來進行徹底的清除工作 http://www.microsoft.com/taiwan/security/malwareremove/default.mspx。 |
由於在某些案例中,台灣微軟發現 Win32/Conficker 會阻斷 Windows Update 自動更新的網路存取,因此建議管理者可以手動下載,並且將下載後的工具放置於限制寫入的儲存空間,再分享給其他電腦進行清除動作。另外,台灣微軟也提供了企業內部如何有效利用 MSRT 清除以及完整的預防措施。詳細資訊請參閱以下連結:http://support.microsoft.com/kb/890830、http://support.microsoft.com/kb/891716。
一月份安全公告及安全性補充程式
台灣微軟今 (14) 日也發佈了一月份安全公告及編號 MS09-001 的補充程式,是要主動避免駭客透過 Microsoft 產品惡意使用不當手法,導致遠端執行程式碼、允許權限提高或資訊洩漏所造成的損失。台灣微軟公司強烈呼籲所有客戶立即使用「Windows Update 自動更新」功能隨時更新程式,避免惡意程式攻擊,或是立刻下載補充程式,以確保電腦使用的安全。
本月的資訊安全相關摘要說明如下:
http://www.microsoft.com/taiwan/technet/security/bulletin/ms09-jan.mspx
由於本月所發現 Microsoft 可能被攻擊的弱點,會造成有心人士藉由此弱點執行遠端程式碼、提高權限及資訊洩漏的問題,因此台灣微軟公司已開始積極聯絡相關客戶及合作夥伴,敦促他們立即部署 MS09-001 補充程式,將可能對客戶造成的不利影響降至最低。
另外,微軟於 Windows Server Update Services (WSUS)、Windows Update (WU) 及下載中心發行新版的 Microsoft Windows 惡意軟體移除工具。請注意,本工具將不會經由 Software Update Services (SUS) 散發。
請參閱以下網址,取得有關 Microsoft Windows 惡意軟體移除工具的資訊:
http://www.microsoft.com/taiwan/security/malwareremove/default.mspx
http://www.microsoft.com/taiwan/security/malwareremove/families.mspx
Microsoft 今日也在 WU、MU 及 WSUS 上發行非安全性高優先順序更新:如需有關今日發行的非安全性更新的詳細資訊,請參閱下列知識庫文件:
http://support.microsoft.com/?id=894199
本月安全公告及補充程式公告如下:
新發行的公告:
| 最高嚴重性 | 公告編號 | 受影響的產品 | 影響 |
重大 | 重大 MS09-001 | Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008。 | 允許遠端執行程式碼 |
| • | MS09-001:SMB 中的弱點可能會允許遠端執行程式碼 (958687)。最高嚴重性等級:重大。 受影響的軟體:
用戶可到以下網址下載更新程式: |
台灣微軟公司強烈建議所有用戶藉由「保護您的電腦」三步驟,來確保電腦資訊環境的安全,詳細做法及說明如下:
步驟 1:使用網際網路防火牆:網際網路防火牆有助於避免其他人透過網際網路進入您的電腦。如果您使用 Microsoft Windows® XP,請啟用內建的防火牆。如果您有舊版的 Windows,請參閱「學習防火牆」網頁(https://www.microsoft.com/taiwan/athome/security/viruses/fwbenefits.mspx)。
步驟 2:更新您的電腦:您的 Windows XP 作業系統包含「自動更新」功能,當您的電腦開機並連接至網際網路時,可自動下載最新的 Microsoft 安全性更新檔案。為了充分發揮「自動更新」的功能,請先在您的個人電腦上執行 Windows Update 掃描。
步驟 3:使用最新的防毒軟體:防毒軟體程式可協助保護您的電腦免於大多數病毒、蠕蟲、特洛伊木馬程式、及其他惡意程式碼的攻擊。許多新的電腦均已事先安裝防毒軟體。但是,防毒軟體需要訂閱以保持最新狀態。如果您沒有訂閱這些更新,您的電腦就可能會遭受新病毒的攻擊。
台灣微軟公司也特別強調,微軟公司的資訊安全網頁提供最新的安全公告,建議使用者至 http://www.microsoft.com/taiwan/security/ 訂閱「資訊安全電子報」,即可在第一時間收到微軟公司相關的安全資訊。請至以下網站以獲得更多有關微軟產品最新資訊安全訊息:
| • | |
| • |
關於微軟
微軟公司成立於一九七五年,多年來在全球個人電腦與商用軟體、服務與網際網路技術上居領導地位。微軟公司致力於提供各種產品與服務,讓人們在任何時間、任何地點、使用任何裝置,都能輕鬆取得資訊。有關微軟公司相關訊息請參閱:http://www.microsoft.com/taiwan/press。台灣微軟公司聯絡電話:(02)3725-3888。
