W32.Downadup病毒风险及应对技巧

　　最新监测显示，自2008年12月发现针对MS08-067漏洞的W32.Downadup蠕虫病毒以来，此病毒已出现多种变种，并在全球范围内大面积爆发。其中，中国和台湾地区，阿根廷及巴西是目前受影响最大的几个区域。图1显示了目前全球受此次病毒影响最大的十个地区。赛门铁克将继续对此病毒进行密切监测，并将为用户提供及时的通报和应对措施。

　　技术分析

　　出现于2008年12月的W32.Downadup是首批成功利用MS08-067漏洞并造成大规模影响的蠕虫病毒。赛门铁克通过深入分析发现，受感染的计算机每天会生成250个随意的伪域名，并试图连接这些地址以下载并执行模块升级。这种技术目前在病毒编写者中日渐流行，因为它可以降低恶意域名和服务器被查获的几率。不过，赛门铁克采用的反域名生成算法可以有效的主动确认和封锁这些域名，从而保护用户计算机的安全。2008年12月30日，W32.Downadup出现变种，即W32.Downadup.B。它不仅可以利用微软视窗服务器的远端程序调用服务漏洞执行远程代码(Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability)，还可以通过感染U盘等移动存储设备，以及只有弱密码保护的网络进行传播。 W32.Downadup.B会在硬盘上新建autorun.inf文件，当用户进入硬盘空间时，恶意代码便会自动运行。同时，它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接成功，此蠕虫病毒会立刻在外接的硬盘空间中复制一个autorun.inf文件，并通过被感染的U盘或移动硬盘继续传播给其他计算机。赛门铁克已针对W32.Downadup病毒特征发布了新的病毒定义W32.Downadup，W32.Downadup.B，和W32.Downadup!autorun，用以清除病毒和恶意.inf文件，建议用户立刻更新使用。 此外，W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串，并以“超时，访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件，从而无法清除病毒威胁。 而最新一轮W32.Downadup蠕虫病毒在某些地区的大规模爆发则可能有以下两个原因：

　　(1) 病毒利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播，需首先知晓用户计算机的操作系统版本和使用的语言。Downadup病毒通过分析用户IP地址来获取以上信息。同其他语言相比，中文和葡萄牙文的信息看起来可能更容易被Downadup病毒所识别，从而令使用这些语言版本的用户计算机更易受到攻击，如中国和巴西用户。

　　(2) 要防范W32.Downadup蠕虫病毒，最根本的措施是安装针对MS08-067漏洞的补丁。然而，一些Windows系统的用户选择关闭了Windows自动安全更新功能，同时W32.Downadup自身也会试图阻止计算机访问安全更新网站安装补丁，从而导致计算机很容易受到针对Windows漏洞的病毒攻击，如这次的W32.Downadup及其变种。

　　补丁

　　微软已发布的MS08-67补丁能够有效防范计算机免受此病毒攻击。

　　应对和防范

　　赛门铁克建议用户采取以下措施：

　　尽快安装MS08-067补丁。若用户关闭了Windows自动安全更新功能，请访问Windows Update网站，或手动更新Windows最新安全补丁。

　　立刻启动您的赛门铁克防病毒软件并运行LiveUpdate, 以获取最新病毒定义库，保护计算机免受病毒攻击。

　　避免使用由单纯数字或字母组成的弱密码(如3987234或powjeha)，建议使用由大小写字母，数字及特殊符号共同构成的强密码(如9%Cy&2F45)，以增加计算机的防护能力。

　　若发现计算机硬盘或移动存储设备中含有可疑文件，可开启已升级病毒定义库的赛门铁克放病毒软件对其进行扫描查杀。确保安全后方可继续使用。