解密飞客蠕虫彻底清除方案

       通过监测数据显示，近期飞客蠕虫(Worm.Win32.Conficker.~)依旧活跃，这个困扰了网民两年多的蠕虫病毒正在国内互联网上飞速扩散，网上也出现了很多关于这个蠕虫的言论，其中大多数言论指向消极的方向，认为该蠕虫病毒无法彻底清除，杀毒软件不能查杀该病毒等等等等。

       针对这些负面言论，笔者觉得有必要跟网民分享一下对该蠕虫的认识以及该如何彻底清除该蠕虫病毒，让网民远离该蠕虫病毒的困扰。

        误区一：该蠕虫不能够被彻底清除。笔者说该蠕虫能够被彻底清除，只是你还没有掌握清除的方法。

        误区二：杀毒软件无用，不能查杀该蠕虫病毒。笔者说各个主流杀毒软件都能够查杀该蠕虫病毒。

       有网民看到这里该说了，我下载了各种各样的专杀工具和很多个杀毒软件来查杀该病毒，但是每次提示飞客蠕虫病毒已清除，过了一会儿又再次提示飞客蠕虫已被清除，这说明我的系统里感染的飞客蠕虫病毒是被清除了还是没被清除？笔者的答案是你系统里感染的飞客蠕虫也被清除了，也没有被清除。看到这里你也需非常疑惑，为什么这么说呢？别着急，请听笔者慢慢道来。

       首先声明一点，飞客蠕虫病毒可以被彻底清除，能够对该蠕虫报警的杀毒软件也都能清除该蠕虫病毒。飞客蠕虫与以往的病毒运行机理有些不同，该蠕虫的病毒体仅仅是一个动态链接库（.dll）文件，不像以往的一些病毒，其病毒主体是一个可执行的.exe文件，exe文件在系统中运行后，要么释放出.dll或者.sys并将之加载到系统之中运行，加载完.dll或者.sys文件之后自己退出，让动态库（.dll）或者驱动（.sys）文件去执行病毒功能，要么什么也不释放，只是执行自身的病毒功能。

       该蠕虫与他们的区别是，它只有一个.dll文件，所以当用户拿到一个飞客蠕虫样本时候，无论你把它的后缀改成.exe或者是其他的后缀名，都无法让该蠕虫顺利执行。那么它自身是通过什么方式来运行的呢？对windows熟悉的网民都知道，在windows系统中有一个rundll32.exe的可执行文件，它是干吗用的？从文件名看就知道，它是用来运行32位的dll文件的。

      该蠕虫就是利用这个可执行文件加载运行的,rundll32.exe   %path%*.dll   ******   /*其中******是特定的参数*/，该蠕虫在系统中运行起来之后，首先会检查以下三个服务（a：Workstation、b：Server、c：Computer browser）是否启动，如果有其中一个服务未启动，则病毒功能终止，如果这三个服务都启动的话，则蠕虫启动相应的病毒功能，枚举局域网内的ip地址，并对每个存活的主机尝试进行MS08-067漏洞攻击，攻击成功后，将自身拷贝到被攻陷的系统中并在内存中执行。

     针对它的特点，聪明一些的网民应该已经意识到为什么自己的杀软总是提示飞客蠕虫已经被清除。不是自己的杀毒软件没用，而是因为杀毒软件刚刚清除掉系统中的病毒体，局域网内的其他被感染的主机就再一次把病毒体拷贝到你的机器上并运行。

那么针对该蠕虫的特点，我们可以总结出以下完美解决方案：

    （转载请注明出处：版权所有 首席信息安全官网站http://bbs.cnciso.com）