[KB2209] Conficker - 如何自我保护？

问题

解决方案

防止感染

A-下载微软安全补丁

• Microsoft 安全公告 MS08-067 - 严重 - 服务器服务中的漏洞可能导致远程代码执行

• Microsoft 安全公告 MS08-068 - 重要 - SMB 中的漏洞可能导致远程代码执行

• 微軟安全公告 MS09-001 - 重要 - SMB 漏洞可能導致遠端執行程式碼

B - 禁用自动运行和自动播放（Windows XP 和 Windows Vista）

您可能需要禁用 Windows 系统中的自动运行和自动播放功能，以防止恶意软件制造商滥用这些安全漏洞。USB 驱动器和其他可移动媒体在每次（默认情况下）连接到电脑时都会被自动运行/自动播放功能访问，它们是目前最常用的病毒载体。

微软视窗的自动运行和自动播放功能最初是为了简化光盘内容的运行，它们会自动：(i) 执行 Autorun.inf文件（以及其中可能包含的恶意指令）--自动运行漏洞(ii) 打开一个弹出窗口，其中包含可用的操作（其中一些可能是恶意Autorun.inf 中的敌对触发器）--自动播放漏洞。

1. 如果你想禁用自动运行和自动播放功能，请右键单击此链接下载DisableAutorun.reg文件，然后选择将链接另存为...
   
2. 在 "另存为"窗口中确保
   
   (i) 将 "另存为类型"下拉菜单设置为 "所有文件"或 "注册条目 (*.reg) "（或类似选项，具体取决于您的浏览器）
   
   (ii)文件名称字段包含注册表文件的准确名称（如DisableAutorun.reg）
   
3. 单击保存。确认保存注册表文件的任何提示。
   
4. 双击保存的文件，单击 "是 "确认添加注册表项。单击确定完成。

B2 - 如何重新启用自动运行和自动播放（Windows XP 和 Windows Vista）

如果您需要撤销按照 B 部分（上文）中的说明所做的更改，请右键单击此链接下载ReenableAutorun.reg 文件，然后重复 B 部分（上文）中的说明，只是这次要使用ReenableAutorun.reg文件。

清理步骤（单机）

1. 断开受感染计算机与网络和互联网的连接。

2. 使用未感染的计算机从上文A 部分 下载相应的 Windows 修补程序。安装所有修补程序。

3. 使用更复杂的密码重置系统管理员账户密码。注意渗透可通过共享文件夹传播。

   (i.) 按 CTRL+ALT+DELETE，然后单击 "更改密码...

   (ii.) 键入旧密码，键入新密码，再次键入新密码确认，然后按 ENTER 键。

4. 下载一个一次性 ESET 应用程序（同样使用未感染的电脑），该程序将删除蠕虫病毒。如果没有安装 ESET 产品（3.0 或更高版本），可以下载（使用未感染的电脑）并运行我们的免费单机版清除程序：

   • ESET Conficker清除工具

5. 下载并安装最新版本的 ESET 软件。

6. 更新病毒签名数据库。

要验证单机版清除程序是否清除了Conficker威胁，请重新运行单机版清除程序，然后使用ESET产品运行扫描。

成功运行ESET单机版清除程序后，我们建议您阅读以下微软文章，了解有关重要安全补丁和推荐组更改的信息：

• http://support.microsoft.com/kb/962007

为了最大限度地防范未来的威胁，请确保您的操作系统已根据微软的建议打上补丁，并确保您的 ESET 产品是最新的。

清理步骤（网络）

1. 如果不想下载所有 Windows 更新，但又想确保至少能防范 Win32/Conficker 威胁，请下载以下 Microsoft 安全公告中的补丁（KB958644、KB957097和KB958687）并安装到网络上的所有计算机上：
   

   Windows 7 和 Server 2008 不需要修补程序

   Windows 7 和 Server 2008 r2 不需要以下补丁，因为这些操作系统上不存在 Conficker 使用的漏洞。不过，Microsoft Windows Server 2008需要以下补丁。

   • Microsoft 安全公告 MS08-067 - 严重 - 服务器服务中的漏洞可能允许远程执行代码
   
   
   • Microsoft 安全公告 MS08-068 - 重要 - SMB 中的漏洞可能导致远程代码执行
   
   
   • Microsoft 安全公告 MS09-001 - 严重 - SMB 中的漏洞可能导致远程代码执行
2. 在所有机器上安装和更新 ESET 安全解决方案：
   • How to Download and Install ESET NOD32 Antivirus Business Edition on a server (4.x)
   
   
   • #@#publication_url id='13' target='_blank' content='我如何知道 ESET Smart Security/ESET NOD32 Antivirus 正在正确更新？
3. 更改网络上的所有密码，因为Conficker会使用它已经记录或通过暴力获取的密码。

4. 在每台计算机上运行ESET Conficker移除工具：

   • ESET Conficker移除工具
5. 在客户端使用以下命令删除Win32/Conficker创建的任何计划任务：
   
   at /delete /yes

如果上述步骤不能解决问题，请重置所有密码，然后执行以下步骤来确定哪些机器仍在试图传播感染：

6. 打开对登录失败事件的审计：

   1. 在域控制器上，单击开始→管理工具→域控制器安全策略。

   2. 导航至安全设置→本地策略→审核策略→审核登录事件。

   1. 3. 确保将 "审计登录事件 "设置为记录所有成功和失败事件。

7. 监控域控制器上的安全事件日志，查看事件 ID 是否为 529（如果没有发生 529 事件，则说明 Win32/Conficker 使用了正确的管理密码 - 因此需要更改密码）。
   
8. 查看事件属性时，您会看到一个 "工作站名称"。这就是试图感染其他计算机的罪魁祸首或罪魁祸首之一。
   
9. 转到确定的客户端，重复上述步骤 1-5。

完成上述清理步骤（网络）后，应再次更改所有管理密码，以确保Conficker没有这些密码。如果所有机器都打上补丁后，Conficker 仍显示威胁，那么要么是仍有未打补丁的机器，要么是 ESET 未在机器上安装和更新。