C:/WINDOWS/system32/x 病毒分析和解决建议

系统出现问题，症状有：
偶尔很卡，CPU并没有很高的进程；
死机，屏幕锁定，键盘失灵，仅鼠标能移动，但是不能任何操作；
只能强行重新启动；
NOD32会报以下病毒警告：

C:/WINDOWS/system32/x

C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/CPZ6J20Y/xxxxxx[1].jpg
xxxxx 代表文件名
蠕虫病毒

分析：

选择清除后，下次又会再来。
GHOST恢复系统后，还会出现。

网上发现很多这样的情况，但是都没有具体的办法。

清理C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/ 文件时发现index.dat 文件不能删除，这是个索引文件。

我们打开看看：

可以看到，有记录证明在下载内网的一个疑似图片的文件。

PING这个机器

说明这个机器存在，也测试了http://192.168.0.179:2932/pfrv 的确能下载，且下载后NOD32报读，那么到这基本可以确定就是因为去下载了这个文件，所以NOD32才警告。

但是我并没有去下载这个机器的文件。2个可能

1.我的机器有什么软件激活了这个过程，让它去取内网的病毒；但是她如何知道这个机器的IP和端口的呢？

2.内网机器能够远程执行我机器上的命令，想到这里，我们就想到了conficker

conficker介绍：
Conficker，也被称作Downup，Downadup或Kido，他是一个2008年10月发现的以微软的windows操作系统为攻击目标的计算机蠕虫病毒。这个蠕虫利用的是一个已知的被用于windows2000，windowsxp，windowsvista，windowsserver2003和windowsserver 2008操作系统的服务器服务漏洞。Linux和macintosh操作系统不会受到这个病毒的影响。“conficker”这个名字是一个德语的双关语，意思是“操作计算机设置的程序”发音就像是英语中“configure”。“configuration”通常被简称为“config”。conficker的命名来源于configuration的前五个字母，同时添加了以ficker为结尾，ficker是一个粗俗的词，是德语fichen的名词形式，在德语中的意思就是英语中的“fuck”。

conficker原理：
conficker蠕虫传播主要通过运行windows系统的服务器服务的缓冲区漏洞。它使用特定的RPC请求在目标电脑上执行代码。

当在一台电脑中成功执行，它会禁用一些系统服务，比如windows系统更新，windows安全中心，windowsdefender和windows错误报告。然后他会连接一个服务器，在那里他会接到进一步传播的命令，收集个人信息，和下载安装附加的恶意程序到受害人的计算机中。它还会把自己添加到必然会有的windows活动进程中，像是svchost.exe，explorer.exe和services.exe。

防范和解决建议：

在两千零八年十月十五日微软释放了一个补丁（MS08-067）用于修复这个漏洞。清除工具可以从微软，赛门铁克，卡巴斯基获得，同时麦咖啡可以清楚他通过特殊扫描。病毒可以通过USB自动播放传播，通过注册表关闭USB的自动播放功能是推荐的选择。微软释放了windowsXPsp2和sp3、windows2000sp4、vista的补丁，没有释放windowsXPsp1和更早版本系统的补丁，这些系统的服务包支持已经过期。

详细介绍：http://www.hudong.com/wiki/conficker

那么这个问题很可能是这样：
内网机器中了病毒，并扫描任意机器，寻找漏洞机器；寻找到后执行下载病毒代码；
如果你的机器补丁没有打、防火墙没有做好屏蔽策略，就极可能被感染。

所以，需要马上更新最新补丁，开启防火墙。

本文来自: E点废墟(www.xok.la) 详细出处参考：http://xok.la/2009/12/c_windows_system32_conficker.html