[KB2209] Conficker - kuidas ma ennast kaitsta?

MÄRGE:

See lehekülg on tõlgitud arvuti poolt. Klõpsa selle lehekülje keelte all inglise keeles, et kuvada originaaltekst. Kui midagi jääb ebaselgeks, võta palun ühendust oma kohaliku klienditoega.

Väljaanne

Win32/Conficker-ohuga kokkupuutumise oht on tingitud Microsofti operatsioonisüsteemi haavatavusest (Microsoft avaldas selle haavatavuse paranduse 2008. aasta oktoobris). Et vältida Microsofti operatsioonisüsteemi haavatavuse põhjustatud nakatumist, veenduge, et teie arvuti (ja kõik arvutid teie võrgus) on alati ajakohastatud Microsofti Windowsi viimaste uuendustega. Viimased uuendused leiate aadressilt http://update.microsoft.com/.

Conficker'i eest kaitsmiseks järgige selles artiklis toodud samm-sammult juhiseid. Või klõpsake allpool oleval lingil, et minna konkreetse jaotise juurde:

Lahendus

Nakatumise vältimine

A-Downloadige Microsofti turvaparandused
Kui Te ei soovi laadida alla kõiki Windowsi uuendusi, kuid soovite tagada, et olete vähemalt Win32/Conficker-ohu eest kaitstud, laadige alla ja installige järgmistes Microsofti turvabülletäänides olevad parandused(KB958644, KB957097 ja KB958687):
B - Lülita autorun ja autoplay välja (Windows XP ja Windows Vista)

Sa võid oma Windows süsteemi Autorun ja Autoplay funktsioonid välja lülitada, et pahatahtliku tarkvara tootjad ei saaks neid turvaauke ära kasutada. USB-kettad ja muud eemaldatavad andmekandjad, millele Autorun/Autoplay funktsioonid pääsevad ligi iga kord (vaikimisi), kui Sa neid arvutiga ühendad, on tänapäeval kõige sagedamini kasutatavad viirusekandjad.

Microsoft Windows Autorun ja Autoplay on funktsioonid, mis algselt olid mõeldud CD sisu käivitamise lihtsustamiseks, automaatselt:(i) Autorun.inf faili (ja mis tahes võimalike pahatahtlike juhiste käivitamine) - Autorun haavatavus(ii) pop-up akna avamine kättesaadavate tegevustega (millest mõned võivad olla pahatahtlikust Autorun.inf failist ülevõetud vaenulikud käivitajad) - Autoplay haavatavus

Mõned terminid võivad erineda

Mõned allpool toodud sammudes kasutatud terminid võivad sõltuvalt teie brauserist veidi erineda.

  1. Kui soovite Autoruni ja Autoplay keelata, siis klõpsake selle lingi allalaadimiseks paremklõpsuga DisableAutorun.reg faili ja valige Save link as...
  2. Save As aknas veenduge, et:

    (i) Save As Type rippmenüü on seatud All files või Registration Entries (*.reg) (või sarnane, sõltuvalt teie brauserist)

    ii) väljal File Name (Failinimi ) on registrifaili täpne nimi (nt DisableAutorun.reg)
  3. Klõpsake nuppu Save (Salvesta). Kinnitage kõik registrifaili salvestamiseks esitatud üleskutsed.
  4. Topeltklõpsake salvestatud failil ja kinnitage registrikande lisamine, klõpsates Yes. Lõpetamiseks klõpsake OK.
Hoiatus

Pärast allalaetud faili importimist Windowsi registrisse ignoreerib süsteem mis tahes Autorun.inf faili. Kuigi see lülitab Autorun-funktsiooni täielikult välja, jätkab Autoplay-funktsioon hüpata, kuid välistab potentsiaalselt ohtlikud Autorun.inf valikud. Peate meeles pidama, et need ennetavad turvameetmed ei kõrvalda võimalikke pahavara nakkusi. Soovitame ranget ettevaatust tundmatute failide avamisel/täitmisel/klikkimisel!

Oluline

Allalaaditud fail peab olema salvestatud .reg laiendiga, et see töötaks korralikult. Kui faili topeltklõpsamine ei too esile registri redaktori dialoogiakent, tehke paremklõps faili ikoonil, valige Properties ja muutke failinime vahekaardil General, et failinime viimased neli tähte oleksid .reg. Kinnitage kõik muutuste salvestamiseks vajalikud juhised.

MÄRKUS

Selle lahenduse kohta soovitame lugeda järgmist artiklit.

B2 - Kuidas taaskäivitada Autorun ja Autoplay (Windows XP ja Windows Vista)

Kui Sul on vaja tühistada muudatused, mida Sa tegid vastavalt jaotises B (eespool) toodud juhistele, siis kliki paremklõpsuga sellel lingil, et laadida alla fail ReenableAutorun.reg ja korda jaotises B (eespool) toodud juhiseid, ainult et seekord kasuta faili ReenableAutorun.reg.

Oluline

Muudatuste jõustumiseks peate arvuti taaskäivitama.

MÄRKUS

Lisaks viimaste turvaparanduste allalaadimisele ja installimisele võite võtta muid ettevaatusabinõusid, et vähendada nakatumisohtu. Click here for more strategies to minimize the risk of a malware attack. Kui olete võrguadministraator, kliki siia sammude jaoks, mida saad võtta, et minimeerida ülejäänud nakatumise ohtu sinu võrgus.

Puhastamise sammud (üks masin)

Kui olete kokku puutunud või olete kokku puutunud Win32/Conficker pahavaraga, puhastab nakkuse ESETi toote täielikult uuendatud versioon (versioon 3.0 või uuem).
Oluline

Et vältida operatsioonisüsteemi uuesti nakatumist, peab see olema korralikult parandatud, kasutades kõiki eespool punktis A toodud linke.

  1. Ühendage nakatunud arvuti võrgust ja internetist lahti.

  2. Kasutage nakatumata arvutit, et laadida alla vastavad Windowsi parandused, mis on toodud eespool punktis A . Paigaldage kõik parandused.

  3. Lähtestage oma süsteemi paroolid admin-kontodele, kasutades keerukamaid paroole. Pange tähele, et infiltratsioon võib levida jagatud kaustade kaudu.

    (i.) Vajutage CTRL+ALT+DELETE ja seejärel klõpsake Change password...

    (ii.) Sisestage oma vana parool, sisestage uus parool, sisestage selle kinnitamiseks uuesti uus parool ja vajutage ENTER.

  4. Laadige alla ühekordne ESETi rakendus (jällegi, kasutades nakatumata arvutit), mis eemaldab ussid. Kui teil ei ole ESETi toodet (3.0 või uuem) paigaldatud, võite alla laadida (kasutades nakatumata arvutit) ja käivitada meie tasuta eraldiseisva puhastusvahendi:

  5. Laadige alla ja installige ESETi tarkvara uusim versioon.

  6. Update your virus signature database.

Et kontrollida, et eraldiseisev puhastusvahend eemaldas Conficker-ohu, käivitage eraldiseisev puhastusvahend uuesti ja käivitage seejärel skaneerimine oma ESET-tootega.

Pärast ESETi eraldiseisva puhastusvahendi edukat käivitamist soovitame lugeda järgmist Microsofti artiklit, et saada teavet oluliste turvaparanduste ja soovitatud grupimuudatuste kohta:

MÄRKUS

Kui ESETi eraldiseisev puhastusvahend ei eemalda Conficker-ohtu täielikult, sisaldab ülaltoodud Microsofti artikkel ka Conficker'i käsitsi eemaldamise juhiseid.

Maksimaalse kaitse tagamiseks tulevaste ohtude eest veenduge, et teie operatsioonisüsteem on parandatud vastavalt Microsofti soovitustele ja et teie ESETi toode on ajakohane.

Oluline

Lisateavet Conficker-usside eest kaitsmise kohta leiate meie ESETi blogikirjeldustest.

Puhastamisetapid (võrk)

Kasutage NMap-i nakatunud masinate leidmiseks

Kui kahtlustate, et teie võrgus olevates arvutites on Conficker-nakkus, saate kasutada tasuta utiliiti NMap, et tuvastada nakatunud kliendid, kasutades järgmisi käske:

  • Võrgu skaneerimiseks: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [sihtvõrgud]
  • Kiiremaks skaneerimiseks: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [sihtvõrgud]
  • Põhjalikuks skaneerimiseks: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [sihtvõrgud]
  1. Kui te ei soovi kõiki Windowsi uuendusi alla laadida, kuid soovite tagada, et olete vähemalt Win32/Conficker-ohtude eest kaitstud, laadige alla ja installige kõigis oma võrgu masinates järgmistes Microsofti turvabülletäänides sisalduvad parandused(KB958644, KB957097 ja KB958687):
    Windows 7 ja Server 2008 puhul ei ole parandusi vaja

    Allpool toodud parandused ei ole Windows 7 või Server 2008 r2 jaoks vajalikud, kuna Conficker'i poolt kasutatavat ärakasutamist ei ole nendes operatsioonisüsteemides olemas. Microsoft Windows Server 2008 vajab aga allpool toodud parandusi.



  2. Paigaldage ja uuendage ESETi turvalahendus kõikidele masinatele
  3. Muutke kõik võrgus olevad paroolid, sest Conficker kasutab kõiki paroole, mida ta on juba sisse loginud või mille ta on brute force'i abil saavutanud.

  4. Käivitage ESET Conficker Removal Tool igas masinas:

  5. Eemaldage kõik Win32/Conficker'i poolt loodud plaanilised ülesanded, kasutades klientidel järgmist käsku:

    at /delete /yes

Kui ülaltoodud sammud ei lahenda probleemi, lähtestage kõik paroolid ja seejärel tehke järgmised sammud, et tuvastada, millised masinad püüavad endiselt nakkust levitada:

  1. Lülitage sisse ebaõnnestunud sisselogimise sündmuste auditeerimine:

      1. Klõpsake domeenikontrolleritel StartAdministrative ToolsDomain Control Security Policy.

      1. Navigeerige jaotisele Security SettingsLocal PoliciesAudit PolicyAudit Logon Events.

      1. Veenduge, et Audit Logon Events (Sündmuste auditeerimine) on seatud nii, et kõik Success (Edu) ja Failure (Ebaõnnestumine) sündmused salvestatakse.

  2. Jälgige oma domeenikontrolleri(te) turvasündmuste logi 529 sündmuste ID-de suhtes (kui 529 sündmusi ei esine, siis kasutab Win32/Conficker õigeid administraatori paroole - seega tuleb teie paroole muuta).
  3. Sündmuse omadusi vaadates näete "Workstation Name". See on süüdlane või üks süüdlastest, kes üritab teisi arvuteid nakatada.
  4. Minge tuvastatud kliendi(de)le ja korrake ülaltoodud samme 1-5.

Pärast ülaltoodud sammude (Network) puhastamise lõpetamist tuleb uuesti muuta kõik administraatori paroolid, et tagada, et Confickeril ei ole ühtegi neist paroolidest. Kui Conficker näitab endiselt ohte pärast kõigi masinate parandamist, siis on kas mõni masin veel paranduseta või ei ole ESET-i masinale paigaldatud ja uuendatud.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

#

Viimati uuendatud: 17. märts 2026

Lisaressursid

Kasutusjuhendid

ESETi foorum

YouTube'i videod
ESET Status Portal ESET Technical Support

Olemasolev klient?