Win32.Worm.Downadup

2008年12月23日Microsoft 發布了嚴重的安全公告MS08-067，微軟至今只有2次是提前發布補丁的，一個是ANI漏洞補丁，另一個就是MS08-067安全補丁，說明問題還是比較嚴重的。此次漏洞出現在伺服器服務中，該漏洞可能允許遠程執行代碼 (958644)，攻擊者可能未經身份驗證即可利用此漏洞運行任意代碼，此漏洞可能用於進行蠕蟲攻擊，防火牆最佳配置和標準的默認配置有助於保護網路資源免受病毒從企業外部發起的攻擊。我單位的區域網路也已被此病毒占領了大半江山，中毒機器動彈不得，防毒軟體光叫而不能殺之。

據報導，Win32.Worm.Downadup病毒已開始肆虐整個網際網路，它利用新的手法——Windows RPC伺服器的一個安全漏洞來傳播，截止到2009年01月19日，在不超過兩個星期的時間裡已有數以百萬計的Windows電腦受感染。顯然，有幾種不同類型的野生Downadup在運行，該算法創建的域名有變化的變種，該蠕蟲病毒也被稱為Conficker或馬基斯，蠕蟲病毒首次出現在11月下旬，利用此漏洞在區域網路之間不受阻礙地傳播。執行時，Wn32.Worm.Downadup試圖下載一個版本的著名的“防病毒XP的”無賴。 微軟及時發布了安全漏洞的補丁，但許多用戶還沒有安裝它，使他們在打開攜帶型USB快閃記憶體驅動器時感染了該蠕蟲病毒。

2008年12月底， BitDefender實驗室發現了一個新版本的蠕蟲病毒名為Win32.Worm.Downadup.B 。具體來說，該蠕蟲使用USB拇指驅動器來感染其他計算機，並創建一個Autorun.inf檔案在根資料夾中，當自動運行功能啟用，該蠕蟲會自動執行。某些TCP連線功能也被阻止，病毒會過濾包含安全相關的網站地址的字元串，以至不能連線這裡網站，據BitDefender說，這使得它難以消除，因為關於它的資料幾乎是不可能從被感染的計算機收集， 更重要的是，此蠕蟲刪除所有的訪問許可權的用戶，但除執行的情況外，使其達到保護自身的目的。

中毒症狀：區域網路內多台機子出現檔案名稱為X的win32.downadup病毒，該病毒位於system32目錄下，故障現象為單機網路中斷，重啟系統後正常十幾分鐘，然後中斷現象又再出現，甚至會當機，同時防毒軟體會報IE快取資料夾下有隨機名稱的jpg bmp gif 檔案有毒，甚至會報system32目錄下的svchost.exe有毒。