Problem
Din risiko for at blive udsat for Win32/Conficker-truslen skyldes en sårbarhed i Microsofts styresystem (Microsoft udgav en patch til denne sårbarhed i oktober 2008). For at undgå infektion forårsaget af sårbarheder i Microsofts styresystem skal du sørge for, at din computer (og alle computere på dit netværk) altid er opdateret med den seneste Microsoft Windows-opdatering. Du kan finde de seneste opdateringer på http://update.microsoft.com/.
Følg de trinvise instruktioner i denne artikel for at beskytte dig mod Conficker. Eller klik på det relevante link nedenfor for at springe til et bestemt afsnit:
Løsning
Forebyggelse af infektion
A-Download Microsofts sikkerhedsopdateringer
B - Deaktiver Autorun og Autoplay (Windows XP og Windows Vista)
Det kan være en god idé at deaktivere Autorun- og Autoplay-funktionerne i dit Windows-system for at forhindre producenter af ondsindet software i at misbruge disse sikkerhedsbrister. USB-drev og andre flytbare medier, som Autorun/Autoplay-funktionerne får adgang til, hver gang du (som standard) slutter dem til din computer, er de mest brugte virusbærere nu om dage.
Microsoft Windows Autorun og Autoplay er funktioner, der oprindeligt var beregnet til at forenkle afviklingen af cd-indhold ved automatisk at:(i) udføre filen Autorun .inf (og eventuelle skadelige instruktioner, den indeholder) - Autorun-sårbarhed(ii) åbne et pop op-vindue med tilgængelige handlinger (hvoraf nogle kan være fjendtlige udløsere, der er overtaget fra en skadelig Autorun .inf) - Autoplay-sårbarhed
- Hvis du vil deaktivere Autorun og Autoplay, skal du højreklikke på dette link for at downloade filen DisableAutorun.reg og vælge Gem link som...
- I vinduet Gem som skal du sikre dig, at:
(i) rullemenuen Gem som type er indstillet til Alle filer eller Registreringsposter (*.reg) (eller lignende, afhængigt af din browser)
(ii) feltet Filnavn indeholder det nøjagtige navn på registreringsdatabasefilen (dvs. DisableAutorun.reg) - Klik på Gem. Bekræft eventuelle anmodninger om at gemme registreringsdatabasefilen.
- Dobbeltklik på den gemte fil, og bekræft tilføjelsen af registreringsdatabaseposten ved at klikke på Yes. Klik på OK for at afslutte.
B2 - Sådan genaktiverer du Autorun og Autoplay (Windows XP og Windows Vista)
Hvis du har brug for at fortryde de ændringer, du har foretaget i henhold til instruktionerne i afsnit B (ovenfor), skal du højreklikke på dette link for at downloade filen ReenableAutorun. reg og gentage instruktionerne fra afsnit B (ovenfor), men denne gang skal du bruge filen ReenableAutorun.reg.
Rengøringstrin (enkelt maskine)
Afbryd forbindelsen til den inficerede computer fra netværket og internettet.
Brug en ikke-inficeret pc til at downloade de respektive Windows-patches fra afsnit A ovenfor. Installer alle patches.
Nulstil dine systemadgangskoder til administratorkonti ved hjælp af mere sofistikerede adgangskoder. Bemærk, at infiltrationen kan spredes via delte mapper.
(i.) Tryk på CTRL+ALT+DELETE, og klik derefter på Change password...
(ii.) Skriv din gamle adgangskode, skriv din nye adgangskode, skriv din nye adgangskode igen for at bekræfte den, og tryk derefter på ENTER.
Download et engangsprogram fra ESET (igen fra en ikke-inficeret pc), som vil fjerne ormen. Hvis du ikke har et ESET-produkt (3.0 eller nyere) installeret, kan du downloade (ved hjælp af en ikke-inficeret pc) og køre vores gratis stand-alone cleaner:
Download og installer den nyeste version af din ESET-software.
For at bekræfte, at den selvstændige rensning har fjernet Conficker-truslen, skal du køre den selvstændige rensning igen og derefter køre en scanning med dit ESET-produkt.
Når du har kørt ESET standalone cleaner, anbefaler vi, at du læser følgende Microsoft-artikel for at få oplysninger om vigtige sikkerhedsrettelser og anbefalede gruppeændringer:
For at opnå maksimal beskyttelse mod fremtidige trusler skal du sørge for, at dit operativsystem er patchet i henhold til Microsofts anbefalinger, og at dit ESET-produkt er opdateret.
Rengøringstrin (netværk)
- Hvis du ikke ønsker at downloade alle Windows-opdateringer, men vil sikre, at du i det mindste er beskyttet mod Win32/Conficker-trusler, skal du downloade og installere rettelserne(KB958644, KB957097 og KB958687) i de følgende Microsoft Security Bulletins på alle maskiner i dit netværk:
- Installer og opdater en ESET-sikkerhedsløsning på alle maskiner
- Skift alle adgangskoder på netværket, da Conficker vil bruge alle adgangskoder, som den allerede har logget eller opnået ved hjælp af brute force.
Kør ESET Conficker Removal Tool på hver maskine:
- Fjern alle planlagte opgaver, der blev oprettet af Win32/Conficker, ved at bruge følgende kommando på klienterne:
at /delete /yes
Hvis ovenstående trin ikke løser problemet, skal du nulstille alle adgangskoder og derefter udføre følgende trin for at identificere, hvilke maskiner der stadig forsøger at sprede infektionen:
Slå overvågning af mislykkede logon-hændelser til:
På dine domænecontrollere skal du klikke på Start → Administrative værktøjer → Sikkerhedspolitik for domænekontrol.
Naviger til Sikkerhedsindstillinger → Lokale politikker → Revisionspolitik → Revision af logonhændelser.
Sørg for, at Audit Logon Events er indstillet til at registrere alle succes- og fiaskohændelser.
- Overvåg sikkerhedshændelsesloggen på din(e) domænecontroller(e) for hændelses-ID'er på 529 (hvis der ikke forekommer 529 hændelser, så bruger Win32/Conficker korrekte administrative adgangskoder - dine adgangskoder skal derfor ændres).
- Når du ser egenskaberne for hændelsen, vil du se et "Workstation Name". Dette er den skyldige, eller en af de skyldige, som forsøger at inficere andre computere.
- Gå til de(n) identificerede klient(er), og gentag trin 1-5 ovenfor.
Når du har gennemført ovenstående trin for Cleaning Steps (Network) , skal alle administrative adgangskoder ændres igen for at sikre, at Conficker ikke har nogen af disse adgangskoder. Hvis Conficker stadig viser trusler, efter at alle maskiner er patchet, er der enten stadig en upatchet maskine tilbage, eller også er ESET ikke installeret og opdateret på en maskine.
