大家好, 我是 Richard Chen.
微软在一月十四日发布一个严重级别的安全补丁.

MS09-001 SMB 中的漏洞可能允许远程执行代码 (958687)

相关信息请参考一月份安全补丁公告摘要:
http://www.microsoft.com/china/technet/security/bulletin/MS09-jan.mspx

目前为止并无已知问题, 建议各位尽快测试安装.

此外, 关于日前许多企业遇到的 Conficker 蠕虫, 在一月份的 Microsoft Windows Malicious Software Removal Tool (MSRT)
已经可以检测清除. 若您的企业中有 Conficker 感染状况, 请多利用该工具进行大量清除动作.
一般使用者除了使用 MSRT 外, 并建议利用微软免费线上杀毒工具进行全面清查: http://safety.live.com

关于 MSRT
- 详细介绍与下载: http://support.microsoft.com/kb/890830/
- 企业中如何利用 MSRT 大量清除恶意代码: http://support.microsoft.com/kb/891716

关于 Conficker 蠕虫
去年十月微软公布 MS08-067 重大安全补丁来解决 Server service 弱点可能导致远程代码执行攻击。
当时网络上已出现 Conficker.A 蠕虫, 或许是没有造成大量的感染,所以许多公司仍尚未安装该补丁。
自从去年十二月底开始, 全球的微软技术支持中心近来接到很多企业用户提交的紧急问题,经证实皆网路上出现 Conficker 变

种蠕虫有关并定名为 Conficker.B,详细分析可参考:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

感染 Conficker 的企业中可能会有以下类似状况:
- 大量账号无故被锁定
- 域控制器 (Domain Controller) CPU 使用量偏高
- 内网拥堵

有这些征状是因为 Conficker 共使用几种方式进行攻击渗透:
1. 先利用 MS08-067 漏洞进行感染
2. 感染后对环境进行字典攻击
3. Http Call back 下载

故环境中只要有一台机器未安装 MS08-067 就有可能被该蠕虫渗透.
被渗透的环境中 Conficker 仍会对任何机器 (包含已安装补丁的机器) 进行字典攻击 (例如共享资源).
所以要防止近一步感染的步骤也包含使用复杂密码原则.

防范 Conficker 的最佳实践:
1. 在每一台机器安装 MS08-067
2. 域环境下使用复杂密码 (包含共享资源也需要使用复杂密码)
3. 确认贵公司杀毒软件是否有能力查杀 Conficker 后进行全面杀毒
4. 禁用 Autorun 或 Autoplay 功能

参考资讯:
1. Microsoft Conficker.B Information:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B
2. Microsoft Malware Protection Center blog:
http://blogs.technet.com/mmpc/archive/2009/01/13/msrt-released-today-addressing-conficker-and-banload.aspx

Richard Chen
大中华区软件安全项目经理