Conficker病毒具备了蠕虫病毒和下载者病毒的双重属性，是非常让人憎恶的病毒。该病毒进入中国后，极可能出现大量的变种，这些变种会利用新的系统漏洞进行传播，例如才曝光的MS09—002漏洞，会使用更多的反防毒软体技术等。

Conficker病毒类型蠕虫病毒、下载者病毒

病毒目的入侵系统，下载盗号病毒

Conficker，也被称作Downup，Downadup或Kido，他是一个两千零八年十月发现的以微软的windows作业系统为攻击目标的计算机蠕虫病毒。这个蠕虫利用的是一个已知的被用于windows2000，windowsxp，windowsvista，windowsserver2003和windowsserver 2008作业系统的伺服器服务漏洞。Linux和macintosh作业系统不会受到这个病毒的影响。

“conficker”这个名字是一个德语的双关语，意思是“操作计算机设定的程式”发音就像是英语中的“configure”。“configuration”通常被简称为“config”。conficker的命名来源于configuration的前五个字母，添加了以ficker为结尾，ficker是一个粗俗的词，是德语fichen的名词形式，在德育中的意思就是英语中的“fk”。

Conficker病毒主要是藉助快闪记忆体、利用微软的MS08-067漏洞进行传播的。当 Conficker病毒进入系统后，破坏系统中的默认属性设定，接着会自动搜寻区域网路内有漏洞的其他电脑，一旦发现有存在漏洞的计算机系统，就会激活该漏洞并同感染系统创建连线，进行远程感染。

conficker蠕虫传播主要通过运行windows系统的伺服器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。

当在一台电脑中成功执行，它会禁用一些系统服务，比如windows系统更新，windows安全中心，WindowsDefender和windows错误报告。然后他会连线一个伺服器，在那里他会接到进一步传播的命令，收集个人信息，和下载安装附加的恶意程式到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中，像是svchost.exe，explorer.exe和services.exe。

conficker变种将会创建一个Http伺服器并打开一个1024到10000之间的随机连线埠。如果远程机被利用成功的情况下，受害者将会连线这个http伺服器并下载一个病毒副本。它将会重置系统还原点并下载档案到目标计算机。

帐户锁定政策被自动复位。

某些微软Windows服务会自动禁用，如自动更新，后台智慧型传输服务（BITS ）， WindowsDefender和错误报告服务。

域控制器对客户机请求回应变得缓慢。

系统网路变得异常缓慢。这可以从检测的网路流量图和windows任务管理器中看出。

跟防毒软体，windows系统更新有关的网站无法访问。

它发射暴力密码破解攻击管理员密码以帮助它穿越并扩散到管理员共享。最好是把密码更换成更好的。

第一步先断开电脑的网路连线，再运行进程管理工具Wsyscheck，可以看到一个名为Amvo.exe的红色进程，它就是病毒的进程。

选中该进程后，点击右键选择“结束选择的进程”。接着选中列表中的进程Explorer.exe(图1)，在模组列表中找到病毒模组档案Amvo0.dll，点击右键选择“卸载模组”即可。

Wsyscheck查找病毒进程

第二步点击Wsyscheck中的“档案管理”，定位到每个磁碟的根目录下，选中病毒档案9m2ke.exe和Autorun.inf后，点击右键选择“直接删除”。然后定位到病毒主档案所在的System32目录下，选中病毒档案Amvo.exe和Amvo0.dll，并点击右键选择“直接删除”即可。

删除病毒进程

第三步点击Wsyscheck中的“安全检查”标籤中的“活动档案”，在列表中选择病毒启动项Amvo.exe后，点击右键选择“修复所选项”。调出系统修复工具SREng，点击“系统修复→高级修复”，再点击“自动修复”即可恢复被病毒破坏的系统。

修複选项

纽约时报报导，直到二零零九年一月二十二日conficker感染了九百万台计算机

而卫报估计三百五十万计算机被感染。而防毒软体厂商F－Secure报告说被conficker感染的计算机达到九百万到二零零九年一月二十六日，它感染了超过一千五百万计算机使它成为最近感染最广泛的病毒。

另一家防毒软体厂商Panda报告两百万台计算机通过Activescan,大约十一点五万人（百分之六）被感染了这个恶意软体。

Conficker被报告创造了最大的殭尸网路，因为百分之三十的windows计算机没有更新微软二零零八年十月释放的补丁。国防部报告说很多主要的系统和桌面计算机被感染。谢菲尔德报告说这个蠕虫已经感染了超过八百万台计算机，已经遍布行政办公室、海军的桌面系统、潜艇、医院和整个城市。

专家说这是SQL Slammer之后最严重的病毒感染。

被感染用户根据国家分布的情况

美国计算机应急小组（简称“US-CERT”）周一发布警告称，一个Conficker蠕虫的新变种“Conficker B ”开始在网际网路上出现并通过开启系统后门等方式传播恶意程式，感染计算机。

该小组表示，这个新型Conficker/Downadup蠕虫被命名为“Conficker B ”，使用全新的后门途径，并且增加了“自动更新功能”。

微软方面也发表言论，指出没有迹象显示感染先前Conficker变种的计算机会重複感染此次新型变种。早期的Conficker变种已经开始放慢通过漏洞进行传播的脚步。

微软在自己的谘询活动中这样说，“我们发现，新型变种不再围绕netapi32.dll做文章。取而代之的是引入一种精细的代码加壳模式，引入URL更新负载系统；这种更新模式只有在被恶意程式成功验证后执行，，对于该蠕虫的作者来说，给现有的Conficker网路升级到新型变种，显然不是一件容易的事情。”微软已于前不久悬赏25万美元缉拿Conficker蠕虫的始作俑者。

Conficker蠕虫在08年崭露头角，通过Windows系统的一个漏洞进行传播，微软也在去年的十月份发布了该漏洞的补丁。除此之外，Conficker可通过移动存储进行传播，如随身碟，移动硬碟等；在区域网路中，该蠕虫还会通过猜测用户名和密码，以网路共享的方式进行传播。

不得不说的是，之前的Conficker变种确实是个大忙人，Conficker.A型变种感染了超过470万个IP位址，它的后者，Conficker.B则更甚，感染了超过670万个IP位址。二者加起来感染了将近400万台计算机终端。