3 พ.ย.52 ไวรัส conficker หรือ downadup สามารถโจมตีโดยใช้จุดพกพร่องของ Server Service (SVCHOST.EXE) ทางไมโครซอฟท์ออกซีเคียวริตี้อัพเดทหมายเลข MS08-067 ตั้งแต่ 23 ตุลาคม 2251 ที่ http://www.microsoft.com/technet/security/bulletin/ms08-067.mspxสามารถ update ผ่าน DOS Mode ได้ 2 แบบคือ /passive หรือ /quiet เพื่อปิดช่องโหว่ดังกล่าว ไวรัสตัวนี้ถูกเรียกในหลายชื่อ เช่น 1)Win32/Conficker.A (CA) 2)Mal/Conficker (Sophos) 3)Mal/Conficker-A (Sophos) 4)Trojan.Win32.Agent.bccs (Kaspersky) 5)W32.Downadup.B (Symantec) 6)Win32.Worm.Downadup.Gen (BitDefender) 7)Trojan-Downloader.Win32.Agent.aqfw (Kaspersky) 8)W32/Conficker.worm (McAfee) 9)Trojan:Win32/Conficker!corrupt (Microsoft) 10)W32.Downadup (Symantec) 11)W32/Conficker.worm.gen (Symantec)
ไวรัสจะคัดลอกตัวเองไปไว้ใน 1)%System%\[Random].dll 2)%Program Files%\Internet Explorer\[Random].dll 3)%Program Files%\Movie Maker\[Random].dll 4)%All Users Application Data%\[Random].dll 5)%Temp%\[Random].dll 6)%System%\[Random].tmp 7)%Temp%\[Random].tmp 8)%Handydrive%\RECYCLER\S-…[…].[3 random characters] 9)%Handydrive%\autorun.inf
มีผลให้บริการของระบบถูกปิดหรือประมวลผลไม่ได้ เช่น 1) Windows Automatic Update Service (wuauserv) 2) Background Intelligent Transfer Service (BITS) 3) Windows Security Center Service (wscsvc) 4) Windows Defender Service (WinDefend) 5) Error Reporting Service (ERSvc) 6) Windows Error Reporting Service (WerSvc) และ Register ถูกแก้ไขเป็นเหตุให้เกิดการโจมตีในเครือข่าย โดยแก้ไข HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters “TcpNumConnections” = “0x00FFFFFE” และไม่สามารถเข้าเว็บไซต์ที่มีคำว่า virus spyware malware rootkit defender microsoft symantec norton mcafee trendmicro sophos panda etrust networkassociates computerassociates f-secure kaspersky jotti f-prot nod32 eset grisoft drweb centralcommand ahnlab esafe avast avira quickheal comodo clamav ewido fortinet gdata hacksoft hauri ikarus k7computing norman pctools prevx rising securecomputing sunbelt emsisoft arcabit cpsecure spamhaus castlecops threatexpert wilderssecurity windowsupdate
การแพร่เกิด 3 ทาง คือ 1)จุดบกพร่องที่ไม่ update MS08-067 2)การ Share file ในเครือข่าย 3)ผ่าน Handy drive โดยเครื่องมือลบไวรัสตัวนี้หาได้จาก 1)http://support.microsoft.com/kb/962007 2)http://www.bitdefender.com/VIRUS-1000462-en–Win32.Worm.Downadup.Gen.html 3)http://it.yonok.ac.th/anuchit/FixDwndp.rar
ตรวจค่าใน Register ด้วย DOS>reg query hklm\system\currentcontrolset\services\tcpip\parameters ถ้าพบว่า TcpNumConnections = 0x00FFFFFE แสดงว่าติดไวรัสตัวนี้ซะแล้ว สำหรับแหล่งอ้างอิง คือ 1)http://thaicert.nectec.or.th/advisory/alert/conficker.php 2)http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
ตรวจสอบว่าบริการเหล่านี้ถูกไวรัสปิดไปหรือไม่
DOS>sc.exe query wuauserv
DOS>sc.exe query bits
DOS>sc.exe query windefend
DOS>sc.exe query ersvc
