[KB2209] Conficker - Как да се защитя?

ЗАБЕЛЕЖКА:

Тази страница е преведена от компютър. Щракнете върху Английски под Езици на тази страница, за да се покаже оригиналният текст. Ако установите, че нещо не е ясно, моля, свържете се с местната поддръжка.

Издание

Рискът да бъдете изложени на заплахата Win32/Conficker се дължи на уязвимост на операционната система на Microsoft (Microsoft пусна кръпка за тази уязвимост през октомври 2008 г.). За да избегнете инфекции, причинени от уязвимости на операционната система на Microsoft, уверете се, че компютърът ви (и всички компютри в мрежата ви) винаги е актуализиран с последната актуализация на Microsoft Windows. Можете да намерите най-новите актуализации на адрес http://update.microsoft.com/.

За да се предпазите от Conficker, следвайте инструкциите стъпка по стъпка в тази статия. Или щракнете върху съответната връзка по-долу, за да преминете към определен раздел:

Решение

Предотвратяване на инфекция

А-изтегляне на кръпки за сигурност на Microsoft
Ако не желаете да изтегляте всички актуализации на Windows, но искате да сте сигурни, че поне сте защитени от заплахите Win32/Conficker, изтеглете и инсталирайте кръпките(KB958644, KB957097 и KB958687) в следните бюлетини за сигурност на Microsoft:
B - Деактивиране на функциите Autorun и Autoplay (Windows XP и Windows Vista)

Може да искате да деактивирате функциите Autorun и Autoplay във вашата система Windows, за да попречите на създателите на злонамерен софтуер да злоупотребяват с тези пропуски в сигурността. USB устройствата и други сменяеми носители, които се достъпват от функциите Autorun/Autoplay всеки път (по подразбиране), когато ги свържете към компютъра си, са най-често използваните носители на вируси в наши дни.

Microsoft Windows Autorun и Autoplay са функции, които поначало са били предназначени да опростят стартирането на съдържанието на компактдиск, като автоматично:(i) изпълняват файла Autorun.inf (и всички възможни злонамерени инструкции, които той съдържа) - уязвимост на Autorun(ii) отварят изскачащ прозорец с налични действия (някои от които могат да бъдат враждебни тригери, взети от злонамерен Autorun.inf) - уязвимост на Autoplay

Някои термини могат да се различават

Някои термини, използвани в стъпките по-долу, може леко да се различават в зависимост от вашия браузър.

  1. Ако искате да деактивирате Autorun и Autoplay, щракнете с десния бутон на мишката върху тази връзка, за да изтеглите файла DisableAutorun.reg, и изберете Save link as...
  2. В прозореца Save As (Запазване като) се уверете, че:

    (i) в падащото меню Save As Type (Запазване като тип) е зададено All files (Всички файлове) или Registration Entries (*.reg) (или подобно, в зависимост от вашия браузър)

    (ii) полето File Name (Име на файла) съдържа точното име на файла на регистъра (т.е. DisableAutorun.reg)
  3. Щракнете върху Запазване. Потвърдете всички подкани за запазване на файла на системния регистър.
  4. Щракнете двукратно върху запазения файл и потвърдете добавянето на записа в регистъра, като щракнете върху Yes (Да). Щракнете върху OK, за да завършите.
Предупреждение

След импортирането на изтегления файл в регистъра на Windows, всеки Autorun.inf файл ще бъде игнориран от вашата система. Макар че по този начин се деактивира напълно функцията Autorun, функцията Autoplay ще продължи да се появява, но ще изключи потенциално опасните опции на Autorun.inf. Трябва да имате предвид, че тези превантивни мерки за сигурност не изкореняват потенциалните инфекции със зловреден софтуер. Препоръчваме стриктно да внимавате при отваряне/изпълнение/кликане на непознати файлове!

Важно

Изтегленият файл трябва да бъде запазен като файл с разширение .reg, за да работи правилно. Ако при двойно щракване върху файла не се стартира диалоговият прозорец на редактора на регистъра , щракнете с десния бутон на мишката върху иконата на файла, изберете Свойства и редактирайте името на файла в раздела Общи, за да се уверите, че последните четири реда от името на файла са .reg. Потвърдете всички подкани, за да запазите промените.

ЗАБЕЛЕЖКА

Препоръчваме ви да прочетете следната статия за повече информация относно това решение.

B2 - Как да активирате отново функциите Autorun и Autoplay (Windows XP и Windows Vista)

Ако трябва да отмените промените, които сте направили след инструкциите в раздел В (по-горе), щракнете с десния бутон на мишката върху тази връзка, за да изтеглите файла ReenableAutorun.reg и повторете инструкциите от раздел В (по-горе), само че този път използвайте файла ReenableAutorun.reg.

Важно

Ще трябва да рестартирате компютъра си, за да влязат в сила промените.

ЗАБЕЛЕЖКА

В допълнение към изтеглянето и инсталирането на най-новите пачове за сигурност можете да предприемете и други предпазни мерки, за да намалите риска от заразяване. Щракнете тук за повече стратегии за минимизиране на риска от атака със злонамерен софтуер. Ако сте мрежов администратор, Щракнете тук за стъпките, които можете да предприемете, за да сведете до минимум останалата част от инфекцията във вашата мрежа.

Стъпки за почистване (една машина)

Ако се сблъскате или сте се сблъскали със зловреден софтуер Win32/Conficker, напълно актуализирана версия на продукт на ESET (версия 3.0 или по-нова) ще почисти инфекцията.
Важно

За да се избегне повторно заразяване на операционната система, тя трябва да бъде правилно патчирана, като се използват всички връзки от раздел А по-горе.

  1. Изключете заразения компютър от мрежата и интернет.

  2. Използвайте незаразен компютър, за да изтеглите съответните пачове за Windows от раздел А по-горе. Инсталирайте всички пачове.

  3. Пренастройте системните пароли на администраторските акаунти, като използвате по-усъвършенствани такива. Имайте предвид, че проникването може да се разпространи чрез споделени папки.

    (i.) Натиснете CTRL+ALT+DELETE, след което щракнете върху Промяна на паролата...

    (ii.) Въведете старата си парола, въведете новата си парола, въведете новата си парола отново, за да я потвърдите, и след това натиснете ENTER.

  4. Изтеглете еднократно приложение на ESET (отново използвайте незаразен компютър), което ще премахне червея. Ако нямате инсталиран продукт на ESET (3.0 или по-нова версия), можете да изтеглите (като използвате незаразен компютър) и да стартирате нашето безплатно самостоятелно устройство за почистване:

  5. Изтеглете и инсталирайте най-новата версия на вашия софтуер на ESET.

  6. Актуализиране.

За да проверите дали самостоятелната програма за почистване е премахнала заплахата Conficker, стартирайте отново самостоятелната програма за почистване и след това стартирайте сканиране с вашия продукт на ESET.

След успешното стартиране на самостоятелното почистващо средство на ESET ви препоръчваме да прочетете следната статия на Microsoft за информация относно важни кръпки за сигурност и препоръчителни промени в групите:

ЗАБЕЛЕЖКА

Ако самостоятелната програма за почистване на ESET не премахне напълно заплахата Conficker, статията на Microsoft по-горе съдържа и инструкции за ръчно премахване на Conficker.

За максимална защита срещу бъдещи заплахи се уверете, че операционната ви система е патирана съгласно препоръките на Microsoft и че вашият продукт на ESET е актуален.

Важно

За да намерите допълнителна информация относно защитата срещу червея Conficker, моля, вижте нашите блог статии на ESET.

Стъпки за почистване (мрежа)

Използвайте NMap, за да откриете заразените машини

Ако подозирате, че на компютрите във вашата мрежа има заразяване с Conficker, можете да използвате безплатната помощна програма NMap, за да откриете заразени клиенти, като използвате следните команди:

  • За да сканирате мрежата си: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [целеви мрежи]
  • За по-бързо сканиране: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [target networks]
  • За по-задълбочено сканиране: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [целеви мрежи]
  1. Ако не искате да изтегляте всички актуализации на Windows, но искате да сте сигурни, че поне сте защитени от заплахите Win32/Conficker, изтеглете и инсталирайте кръпките(KB958644, KB957097 и KB958687) в следните бюлетини за сигурност на Microsoft на всички машини в мрежата:
    Пачовете не са необходими за Windows 7 и Server 2008

    Пачовете по-долу не са необходими за Windows 7 или Server 2008 r2, тъй като експлойтът, използван от Conficker, не съществува в тези операционни системи. За Microsoft Windows Server 2008 обаче са необходими посочените по-долу кръпки.



  2. Инсталирайте и актуализирайте решението за сигурност на ESET на всички машини
  3. Променете всички пароли в мрежата, тъй като Conficker ще използва всички пароли, които вече е регистрирал или е достигнал чрез груба сила.

  4. Стартирайте ESET Conficker Removal Tool на всяка машина:

  5. Премахнете всички планирани задачи, които са били създадени от Win32/Conficker, като използвате следната команда на клиентите:

    at /delete /yes

Ако горните стъпки не решат проблема, нулирайте всички пароли и след това извършете следните стъпки, за да установите кои машини все още се опитват да разпространяват инфекцията:

  1. Включете одитирането на неуспешни събития за влизане в системата:

      1. На контролерите на домейна щракнете върху СтартАдминистративни инструментиПолитика за сигурност на контрола на домейна.

      1. Преминете към Настройки за сигурностЛокални политикиПолитика за одитОдит на събитията за влизане в системата.

      1. Уверете се, че Audit Logon Events (Одит на събитията при влизане в системата) е настроен да записва всички успешни и неуспешни събития.

  2. Наблюдавайте дневника на събитията за сигурност на вашия контролер(и) на домейна за идентификатори на събития 529 (ако няма събития 529, значи Win32/Conficker използва правилни административни пароли - следователно паролите ви трябва да бъдат променени).
  3. Когато преглеждате свойствата на събитието, ще видите "Workstation Name" (Име на работна станция). Това е виновникът или един от виновниците, който се опитва да зарази други компютри.
  4. Отидете на идентифицирания(те) клиент(и) и повторете стъпки 1-5 по-горе.

След като завършите горните стъпки за Стъпки за почистване (Мрежа), всички административни пароли трябва да бъдат променени отново, за да се гарантира, че Conficker не разполага с нито една от тези пароли. Ако Conficker все още показва заплахи, след като всички машини са поправени, тогава или има останала непоправена машина, или ESET не е инсталиран и актуализиран на дадена машина.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Последно обновяване: 13.04.2026 г.

Допълнителни ресурси

Ръководства за потребителя

Форум на ESET

Видеоклипове в YouTube
ESET Status Portal ESET Technical Support

Съществуващ клиент?