从毒霸反病毒工程师对病毒样本的分析结果来看,Conflicker其实就是金山毒霸2月10日曾发出过预警的“臭鼬”(win32.exploit.agent.b.16384)家族的成员。而“臭鼬”,又则是“扫荡波”蠕虫病毒大家族中的一个分支。Conflicker这一系列变种,有一个统一的特点,就是都能借助U盘进行自动传播,然后利用系统 MS08-067 漏洞进行入侵。
当发现局域网用户后,Conflicker会遍历局域网的计算机并针对它们的MS08-067 漏洞发起攻击。而一旦攻击成功,受攻击的计算机就会自动下载并执行一个下载者病毒,这个下载者病毒将再次下载包括自己母体在内的大量木马。周而复始,直到将整个局域网都变成Conflicker的毒窝。
好在袭击海军的Conflicker所携带的下载名单全是网银盗号木马,而没有远程控制器,否则后果不堪设想。
微软去年10月24日通报了MS08-067 安全漏洞隐患后,中国国内的电脑用户在金山毒霸及其它安全厂商的帮助下,利用金山系统清理专家等工具打齐了安全补丁或做好其它防御准备,使得扫荡波等利用MS08-067漏洞的病毒根本无法进入电脑,或者在进入后就被立即拦截了 。而法国海军的电脑管理员,却不知为何在这长达3个月的时间里,都没去下载补丁和安装杀毒软件。
另一个错过的挽救机会,是法国海军在1月12日发现受到Conflicker的攻击时没有及时关闭网络。当病毒在海军内网肆虐两天后,工作人员才意识到应该切断受感染网络与其它局域网的联系。但此时Conflicker早已顺着军队内网传播开去,给维拉库布莱空军基地和第八兵团的电脑网络造成影响,飓风战斗机因为无法下载作战指令而不得不呆在地上。
到目前为止,海军总参和国防部都无法统计出到底有多少台包含军事信息的电脑被Conflicker感染。在最早刊登这一消息的报纸《liberation》的网站上,一些法国网民将这一事件形容为“无法理解”和“愚蠢”,对军方在接到微软警告后的三个月时间里居然不采取任何防御手段、并且在发现中毒后不及时切断网络感到不可思议。
金山毒霸借此提醒国内电脑用户,无论您安装的杀毒软件是否为金山毒霸,请随时保持自动升级功能的开启,并注意检查杀毒软件的付费状况,以确保能正常升级病毒查杀能力。如果不是特别需要,最好禁用U盘等移动存储设备的自动播放功能。同时,最重要的一点:一定要用金山系统清理专家打齐系统中的安全补丁。
附:部分法国网民对军队中毒事件的评论:
USB端口竟然没有禁用默认启动!——Rédigé par: adnstep
必须立即进行内部调查!——Rédigé par: médoc
飓风、幻影和无人机用的是WINDOWS系统?——Rédigé par: vouroupatra
法国军队的信息技术基础设施竟然依赖于外国的私营公司?难以想像。——Rédigé par: Laurent
部长们还用的是黑莓手机呢(黑莓的数据传输需要连接位于加拿大的服务器),不知道我们的秘密泄露多少了。——Rédigé par: dubois
Linux是免费的、可靠地,而且使用方便,连我这样的土包子都会用。——Rédigé par: YvanLeVrai
GNU / Linux的免费软件是个替代选择,但最薄弱的安全环节其实还是电脑用户本人。——Rédigé par: 8RT-Man
居然有这么多的蠢货,应该在每台电脑上都安装杀毒软件。——Rédigé par: Marius