[KB2209] Conficker - Jak se chránit?

POZNÁMKA:

Tato stránka byla přeložena počítačem. Chcete-li zobrazit originální text, klikněte v části Jazyky na této stránce na Angličtina. Pokud vám něco není jasné, obraťte se na místní podporu.

Obsah

Riziko vystavení hrozbě Win32/Conficker je způsobeno zranitelností operačního systému společnosti Microsoft (společnost Microsoft vydala opravu této zranitelnosti v říjnu 2008). Abyste se vyhnuli infekci způsobené zranitelností operačního systému Microsoft, ujistěte se, že váš počítač (a všechny počítače v síti) je vždy aktualizován nejnovější aktualizací systému Microsoft Windows. Nejnovější aktualizace najdete na adrese http://update.microsoft.com/.

Chcete-li se před Confickerem chránit, postupujte podle pokynů krok za krokem uvedených v tomto článku. Nebo klikněte na příslušný odkaz níže a přejděte na konkrétní část: 

Řešení

Prevence infekce

A–Stažení bezpečnostních záplat společnosti Microsoft
Pokud nechcete stahovat všechny aktualizace systému Windows, ale chcete si zajistit alespoň ochranu před hrozbami Win32/Conficker, stáhněte a nainstalujte záplaty(KB958644, KB957097 a KB958687) v následujících bulletinech zabezpečení společnosti Microsoft:
B - Zakázat autorun a automatické přehrávání (Windows XP a Windows Vista)

Možná budete chtít zakázat funkce Autorun a Autoplay v systému Windows, abyste zabránili tvůrcům škodlivého softwaru zneužívat tyto bezpečnostní chyby. USB disky a další vyměnitelná média, k nimž se při každém (standardním) připojení k počítači přistupuje pomocí funkcí Autorun/Autoplay, jsou v současnosti nejčastějšími nosiči virů.

Autorun a Autoplay systému Microsoft Windows jsou funkce, které měly zpočátku zjednodušit spouštění obsahu CD automatickým: (i) spuštěním souboru Autorun.inf (a případných škodlivých instrukcí, které obsahuje) - zranitelnost Autorun(ii) otevřením vyskakovacího okna s dostupnými akcemi (z nichž některé mohou být nepřátelskými spouštěči převzatými ze škodlivéhosouboru Autorun.inf) - zranitelnost Autoplay

Některé termíny se mohou lišit

Některé pojmy použité v níže uvedených krocích se mohou mírně lišit v závislosti na prohlížeči.

  1. Pokud chcete zakázat autorun a automatické přehrávání, klikněte pravým tlačítkem myši na tento odkaz, stáhněte soubor DisableAutorun.reg a vyberte možnost Uložit odkaz jako...
     
  2. V okně Uložit jako se ujistěte, že:

    (i) v rozevírací nabídce Uložit jako typ je nastavena možnost Všechny soubory nebo Registrační záznamy (*.reg) (nebo podobně, v závislosti na prohlížeči)

    (ii) pole File Name obsahuje přesný název souboru registru (tj. DisableAutorun.reg)
     
  3. Klikněte na tlačítko Uložit. Potvrďte všechny výzvy k uložení souboru registru.
     
  4. Dvakrát klikněte na uložený soubor a kliknutím na tlačítko Ano potvrďte přidání položky registru. Kliknutím na tlačítko OK dokončete.
Varování

Po importu staženého souboru do registru systému Windows bude systém ignorovat všechny soubory Autorun.inf . Tím sice funkci Autorun zcela zakážete, ale funkce Automatické přehrávání se bude zobrazovat i nadále, avšak vyloučí potenciálně nebezpečné možnosti Autorun.inf. Je třeba mít na paměti, že tato preventivní bezpečnostní opatření nevylučují potenciální infekce malwarem. Doporučujeme přísnou opatrnost při otevírání/spouštění/klikání na neznámé soubory!

Důležité

Stažený soubor musí být uložen s příponou . reg , aby správně fungoval. Pokud se po poklepání na soubor nespustí dialogové okno Editor registru , klikněte pravým tlačítkem myši na ikonu souboru, vyberte možnost Vlastnosti a upravte název souboru na kartě Obecné tak, aby poslední čtyři řetězce názvu souboru byly . reg. Potvrďte všechny výzvy k uložení změn.

POZNÁMKA

Pro více informací o tomto řešení doporučujeme přečíst si následující článek.

B2 - Jak znovu povolit Autorun a Autoplay (Windows XP a Windows Vista)

 

Pokud potřebujete vrátit zpět změny provedené podle pokynů v části B (výše) , klikněte pravým tlačítkem myši natento odkaz  , stáhněte si soubor ReenableAutorun.reg a zopakujte pokyny z části B (výše), tentokrát pouze použijte soubor ReenableAutorun.reg.

Důležité

Aby se změny projevily, je třeba restartovat počítač.

POZNÁMKA

Kromě stažení a instalace nejnovějších bezpečnostních záplat můžete přijmout i další preventivní opatření ke snížení rizika infekce. Další strategie pro minimalizaci rizika útoku malwaru naleznete zde. Jste-li správce sítě, klikněte zde , kde najdete kroky, které můžete podniknout, abyste minimalizovali zbytek infekce ve své síti.

Kroky čištění (jeden stroj)

Pokud se setkáte nebo jste se setkali s malwarem Win32/Conficker, plně aktualizovaná verze produktu ESET (verze 3.0 nebo novější) infekci vyčistí.
Důležité

Aby nedošlo k opětovnému infikování operačního systému, je třeba řádně záplatovat pomocí všech odkazů z výše uvedené části A .

  1. Odpojte infikovaný počítač od sítě a internetu.

  2. Pomocí neinfikovaného počítače stáhněte příslušné záplaty systému Windows z výše uvedenéstránky , část A . Nainstalujte všechny záplaty.

  3. Resetujte systémová hesla k účtům správce pomocí složitějších hesel. Všimněte si, že infiltrace se může šířit prostřednictvím sdílených složek.

    (i.) Stiskněte klávesy CTRL+ALT+DELETE a klikněte na možnost Změnit heslo...

    (ii.) Zadejte své staré heslo, zadejte nové heslo, znovu zadejte nové heslo pro potvrzení a stiskněte klávesu ENTER.

  4. Stáhněte si jednorázovou aplikaci ESET (opět na neinfikovaném počítači), která červa odstraní. Pokud nemáte nainstalovaný produkt ESET (3.0 nebo novější), můžete si stáhnout (na neinfikovaném počítači) a spustit náš bezplatný samostatný čistič:

     

  5. Stáhněte si a nainstalujte nejnovější verzi softwaru ESET.

  6. Aktualizujte databázi virových signatur.

Chcete-li ověřit, zda samostatný čistič odstranil hrozbu Conficker, znovu spusťte samostatný čistič a poté spusťte kontrolu pomocí produktu ESET.

Po úspěšném spuštění samostatného čističe ESET doporučujeme přečíst si následující článek společnosti Microsoft, ve kterém naleznete informace o důležitých bezpečnostních záplatách a doporučených změnách skupin:

POZNÁMKA

Pokud samostatný čistič ESET hrozbu Conficker zcela neodstraní, výše uvedený článek společnosti Microsoft obsahuje také pokyny pro ruční odstranění Confickeru.

Pro maximální ochranu před budoucími hrozbami se ujistěte, že je váš operační systém záplatován podle doporučení společnosti Microsoft a že je váš produkt ESET aktuální.

Důležité

Další informace o ochraně před červem Conficker naleznete v příspěvcích na blogu společnosti ESET.

Kroky čištění (síť)

Použití NMap k vyhledání infikovaných počítačů

Pokud máte podezření, že se v počítačích v síti nachází infekce Conficker, můžete pomocí bezplatného nástroje NMap odhalit infikované klienty pomocí následujících příkazů:

  • Postup skenování sítě: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [cílové sítě]
     
  • Pro rychlejší skenovánínmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [cílové sítě]
     
  • Pro hloubkovou kontrolunmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [cílové sítě]
  1. Pokud nechcete stahovat všechny aktualizace systému Windows, ale chcete zajistit alespoň ochranu proti hrozbám Win32/Conficker, stáhněte a nainstalujte záplaty(KB958644, KB957097 a KB958687) z následujících bulletinů zabezpečení společnosti Microsoft do všech počítačů v síti:
    Záplaty nejsou pro systémy Windows 7 a Server 2008 potřeba

    Níže uvedené záplaty nejsou nutné pro systémy Windows 7 nebo Server 2008 r2, protože v těchto operačních systémech neexistuje exploit používaný Confickerem. Microsoft Windows Server 2008 však vyžaduje níže uvedené záplaty.



  2. Nainstalujte a aktualizujte bezpečnostní řešení ESET na všech počítačích:
  3. Změňte všechna hesla v síti, protože Conficker bude používat všechna hesla, která již zaznamenal nebo získal hrubou silou.

  4. Na každém počítači spusťte nástroj ESET Conficker Removal Tool:

  5. Odstraňte všechny naplánované úlohy vytvořené nástrojem Win32/Conficker pomocí následujícího příkazu v klientech:

    at /delete /yes

Pokud výše uvedené kroky problém nevyřeší, resetujte všechna hesla a poté proveďte následující kroky, abyste zjistili, které počítače se stále pokoušejí šířit infekci: 

  1. Zapnutí auditování neúspěšných událostí přihlášení:

      1. V řadičích domény klikněte na tlačítko StartNástroje pro správuZásady zabezpečení řízení domény.

      1. Přejděte do Nastavení zabezpečeníMístní zásadyZásady audituAudit událostí přihlášení.

      1. Ujistěte se, že položka Události auditního přihlášení je nastavena tak, aby zaznamenávala všechny události úspěchu a neúspěchu.

  2. Sledujte protokol událostí zabezpečení na řadiči domény a hledejte ID události 529 (pokud se nevyskytují žádné události 529, pak program Win32/Conficker používá správná hesla pro správu - hesla je proto třeba změnit).
     
  3. Při zobrazení vlastností události se zobrazí položka "Název pracovní stanice". Jedná se o pachatele nebo jednoho z pachatelů, který se snaží infikovat další počítače.
     
  4. Přejděte k identifikovanému klientovi (klientům) a zopakujte výše uvedené kroky 1-5.

Po dokončení výše uvedených kroků pro kroky čištění (síť) je třeba znovu změnit všechna hesla pro správu, aby se zajistilo, že Conficker nemá žádné z těchto hesel. Pokud Conficker zobrazuje hrozby i po záplatování všech počítačů, pak buď stále zůstává nezáplatovaný počítač, nebo na počítači není nainstalován a aktualizován ESET.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

 

Poslední aktualizace: Mar 2, 2026

Další pomoc

Uživatelské příručky

ESET Fórum

Videa na YouTube
ESET Status Portal ESET Technical Support

Stávající zákazník?