最近,利用MS08-067漏洞的W32.Downadup蠕虫病毒广泛传播,并已出现多种变种。
首先出现于2008年12月的W32.Downadup.A是首批成功利用MS08-067漏洞并造成大规模影响的蠕虫病毒。赛门铁克通过深入分析发现,受感染的计算机每天会生成250个随意的伪域名,并试图连接这些地址以下载并执行模块升级。这种技术目前在病毒编写者中日渐流行,因为它可以降低恶意域名和服务器被查获的几率。不过,赛门铁克采用的反域名生成算法可以有效的主动确认和封锁这些域名,从而保护用户计算机的安全。
目前,受W32.Downadup.A影响最大的操作系统是Windows XP SP1及更早版本,其次是Windows XP SP2及更新的版本。而Windows 2000, Windows 2003及其它版本所占份额较小。
2008年12月30日,W32.Downadup出现变种,即W32.Downadup.B.。这个新病毒不仅可以利用微软视窗服务器的远端程序调用服务漏洞执行远程代码(Microsoft Windows Server Service RPC Handling Remote Code ExecutionVulnerability),还可以通过感染U盘等移动存储设备,以及只有弱密码保护的网络进行传播。
W32.Downadup.B会在硬盘上新建autorun.inf文件,当用户进入硬盘空间时,恶意代码便会自动运行。同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接,此蠕虫病毒会立刻在这个新硬盘空间中建立一个autorun.inf文件。赛门铁克已发布专门针对此inf文件的病毒定义W32.Downadup!autorun,用以清除恶意.inf文件,建议用户立刻更新使用。
此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。
据赛门铁克监测显示,受W32.Downadup和W32.Downadup.B蠕虫病毒感染的计算机数量众多。从以下2幅根据最近60天统计数据绘制的W32.Downadup蠕虫病毒传播分布图中可以看到,受感染的计算机分布在世界各地,范围非常广。通常,计算机和互联网使用率最高的国家和地区也是受病毒感染几率最高的区域。
W32.Downadup感染分布图
W32.Downadup.B感染分布图
赛门铁克强烈建议用户立刻安装针对Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability的补丁,采取措施以安全使用会调用autorun.inf文件的应用程序或移动存储设备,并采用强密码保护机制。
同时,赛门铁克已针对W32.Downadup病毒特征发布了新的病毒定义,能够有效的查杀此类蠕虫病毒及其变种。建议用户尽快升级赛门铁克杀毒软件病毒库,以有效的保护计算机安全。
在节假日期间,用户若无法按时手动安装补丁或更新杀毒软件,病毒可能趁机攻击防范较弱的计算机和网络。因此在这种特殊时段,用户可考虑采用计算机自动更新的解决方案,以及时排除潜在威胁。