[KB2209] Conficker - Hogyan védekezhetek?

MEGJEGYZÉS:

Az oldal fordítása mesterséges intelligencia segítségével készült. Az eredeti szöveg megjelenítéséhez válassza ki az oldal jobb felső részén található legördülő menüből az angol nyelvet. Ha kérdése merülne fel ESET termékekkel kapcsolatban, forduljon ügyfélszolgálatunkhoz!

Kiadvány

A Win32/Conficker fenyegetésnek való kitettség kockázata a Microsoft operációs rendszerének sebezhetőségéből adódik (a Microsoft 2008 októberében kiadta a sebezhetőség javítását). A Microsoft operációs rendszer sebezhetőségéből eredő fertőzések elkerülése érdekében győződjön meg arról, hogy számítógépe (és a hálózatában lévő összes számítógép) mindig naprakész a Microsoft Windows legújabb frissítésével. A legfrissebb frissítéseket a http://update.microsoft.com/ oldalon találja .

A Conficker elleni védekezéshez kövesse a cikk lépésről lépésre leírt utasításokat. Vagy kattintson az alábbi megfelelő linkre, ha egy adott szakaszra szeretne ugrani: 

Megoldás

A fertőzés megelőzése

A–Microsoft biztonsági javítások letöltése
Ha nem kívánja letölteni az összes Windows-frissítést, de szeretné biztosítani, hogy legalább a Win32/Conficker fenyegetések ellen védve legyen, töltse le és telepítse a következő Microsoft biztonsági tájékoztatókban szereplő javításokat(KB958644, KB957097 és KB958687 ):
B - Az automatikus indítás és az automatikus lejátszás letiltása (Windows XP és Windows Vista)

Érdemes letiltani az Autorun és Autoplay funkciókat a Windows rendszerében, hogy megakadályozza, hogy a rosszindulatú szoftverek készítői visszaéljenek ezekkel a biztonsági hiányosságokkal. Az USB-meghajtók és más cserélhető adathordozók, amelyekhez az Autorun/Autoplay funkciók minden alkalommal hozzáférnek, amikor (alapértelmezés szerint) csatlakoztatja őket a számítógépéhez, manapság a leggyakrabban használt vírushordozók.

A Microsoft Windows Autorun és Autoplay olyan funkciók, amelyek eleinte a CD-tartalom futtatását hivatottak egyszerűsíteni azáltal, hogy automatikusan:(i) végrehajtják az Autorun.inf fájlt (és az abban található esetleges rosszindulatú utasításokat) - Autorun sebezhetőség(ii) megnyitnak egy felugró ablakot az elérhető műveletekkel (amelyek közül néhány ellenséges indítóprogram lehet, amelyet egy rosszindulatú Autorun.inf fájlból vettek át) - Autoplay sebezhetőség

Néhány kifejezés eltérhet

Az alábbi lépésekben használt egyes kifejezések a böngészőtől függően némileg eltérhetnek.

  1. Ha le szeretné tiltani az Autorun és Autoplay szolgáltatást, kattintson a jobb gombbal erre a linkre a DisableAutorun.reg fájl letöltéséhez, és válassza a Link mentése másként...
     
  2. A Mentés másként ablakban győződjön meg róla, hogy:

    (i) a Mentés típusa legördülő menüben a Minden fájl vagy a Regisztrációs bejegyzések (*.reg) (vagy hasonló, a böngészőtől függően) van beállítva

    (ii) a File Name mező tartalmazza a regisztrációs fájl pontos nevét (pl. DisableAutorun.reg)
     
  3. Kattintson a Mentés gombra. Erősítse meg a beállításjegyzékfájl mentésére vonatkozó kéréseket.
     
  4. Kattintson duplán a mentett fájlra, és erősítse meg a beállításjegyzékbejegyzés hozzáadását az Igen gombra kattintva. Kattintson az OK gombra a befejezéshez.
Figyelmeztetés

Miután a letöltött fájlt importálta a Windows Registry-be, a rendszer figyelmen kívül hagyja az Autorun.inf fájlt. Ez ugyan teljesen letiltja az Autorun funkciót, de az Autoplay funkció továbbra is felugrik, azonban kizárja a potenciálisan veszélyes Autorun.inf opciókat. Ne feledje, hogy ezek a megelőző biztonsági intézkedések nem szüntetik meg a potenciális rosszindulatú fertőzéseket. Az ismeretlen fájlok megnyitásakor/futtatásakor/kattintásakor szigorú óvatosságra intünk!

Fontos

A letöltött fájlt . reg kiterjesztéssel kell elmenteni, hogy megfelelően működjön. Ha a fájlra duplán kattintva nem jelenik meg a Registry editor párbeszédpanel, kattintson a jobb gombbal a fájl ikonjára, válassza a Properties lehetőséget, és szerkessze a fájlnevet a General lapon, hogy a fájlnév utolsó négy karakterlánca . reg legyen. A módosítások mentéséhez erősítse meg az esetleges felszólításokat.

MEGJEGYZÉS

Javasoljuk, hogy olvassa el a következő cikket, amelyben további információkat talál erről a megoldásról.

B2 - A Autorun és Autoplay újraaktiválása (Windows XP és Windows Vista)

 

Ha vissza kell vonnia a (fenti) B. szakaszban leírtak szerint végrehajtott módosításokat, kattintson a jobb gombbal a linkre a ReenableAutorun.reg fájl letöltéséhez, és ismételje meg a (fenti) B. szakaszban leírtakat, csak ezúttal a ReenableAutorun.reg fájlt használja.

Fontos

A módosítások érvénybe lépéséhez újra kell indítania a számítógépet.

MEGJEGYZÉS

A legújabb biztonsági javítások letöltése és telepítése mellett más óvintézkedéseket is tehet a fertőzés kockázatának csökkentése érdekében. További stratégiákért kattintson ide, hogy minimalizálja a rosszindulatú szoftverek támadásának kockázatát. Ha Ön hálózati rendszergazda, kattintson ide a lépésekért, amelyeket megtehet, hogy minimálisra csökkentse a fertőzés maradékát a hálózaton.

Tisztítási lépések (egy gép)

Ha a Win32/Conficker kártevővel találkozik vagy már találkozott, az ESET termék teljesen frissített verziója (3.0 vagy újabb verzió) megtisztítja a fertőzést.
Fontos

Az operációs rendszer újrafertőződésének elkerülése érdekében a kell megfelelően foltozni a fenti A szakaszban található összes hivatkozás segítségével.

  1. Kapcsolja le a fertőzött számítógépet a hálózatról és az internetről.

  2. Egy nem fertőzött számítógépen töltse le a megfelelő Windows-foltokat a oldalon találhatóAszakaszból. Telepítse az összes javítást.

  3. Állítsa vissza a rendszer jelszavait az admin-fiókokhoz kifinomultabb jelszavakkal. Vegye figyelembe, hogy a behatolás a megosztott mappákon keresztül is terjedhet.

    (i.) Nyomja meg a CTRL+ALT+DELETE billentyűkombinációt, majd kattintson a Jelszó módosítása... gombra .

    (ii.) Írja be a régi jelszót, írja be az új jelszót, írja be újra az új jelszót a megerősítéshez, majd nyomja meg az ENTER billentyűt.

  4. Töltsön le egy egyszeri ESET alkalmazást (ismét egy nem fertőzött számítógépet használva), amely eltávolítja a férget. Ha nincs telepítve ESET termék (3.0 vagy újabb), letöltheti (egy nem fertőzött számítógépen) és futtathatja ingyenes önálló tisztítóprogramunkat:

     

  5. Töltse le és telepítse az ESET szoftver legújabb verzióját.

  6. Frissítse a vírusaláírási adatbázist.

Annak ellenőrzéséhez, hogy az önálló tisztító eltávolította-e a Conficker fenyegetést, indítsa újra az önálló tisztítót, majd futtasson egy ellenőrzést az ESET termékével.

Az ESET önálló tisztítóprogram sikeres futtatása után javasoljuk, hogy olvassa el a következő Microsoft-cikket, amelyben a fontos biztonsági javításokról és az ajánlott csoportmódosításokról olvashat:

MEGJEGYZÉS

Ha az ESET önálló tisztítója nem távolítja el teljesen a Conficker fenyegetést, a fenti Microsoft cikk tartalmaz kézi Conficker eltávolítási utasításokat is.

A jövőbeli fenyegetések elleni maximális védelem érdekében győződjön meg arról, hogy operációs rendszere a Microsoft ajánlásainak megfelelően van javítva, és hogy ESET terméke naprakész.

Fontos

A Conficker féreg elleni védekezéssel kapcsolatos további információkért kérjük, olvassa el az ESET blogbejegyzéseit.

Tisztítási lépések (hálózat)

Az NMap használatával megkeresheti a fertőzött gépeket

Ha azt gyanítja, hogy a hálózatában lévő számítógépeken Conficker-fertőzés van, az NMapingyenes segédprogrammal a következő parancsok segítségével észlelheti a fertőzött ügyfeleket: :

  • A hálózat átvizsgálásához: nmap-PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [célhálózatok]
     
  • Gyorsabb vizsgálathoz: nmap-p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [célhálózatok]
     
  • Alapos vizsgálathoz: nmap--script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [célhálózatok]
  1. Ha nem szeretné letölteni az összes Windows-frissítést, de szeretné biztosítani, hogy legalább a Win32/Conficker fenyegetésekkel szemben védve legyen, töltse le és telepítse a következő Microsoft biztonsági közleményekben szereplő javításokat(KB958644, KB957097 és KB958687) a hálózat összes gépére:
    A Windows 7 és a Server 2008 esetében nincs szükség javításokra

    Az alábbi javítások nem szükségesek a Windows 7 vagy a Server 2008 r2 operációs rendszerekhez, mivel a Conficker által használt exploit nem létezik ezeken az operációs rendszereken. A Microsoft Windows Server 2008 azonban az alábbi javításokat igényli.



  2. Telepítsen és frissítsen egy ESET biztonsági megoldást minden gépre:
  3. Változtassa meg az összes jelszót a hálózaton, mivel a Conficker minden olyan jelszót használ, amelyet már bejelentkezett, vagy amelyet nyers erővel szerzett meg.

  4. Futtassa az ESET Conficker eltávolító eszközt minden gépen:

  5. Távolítsa el a Win32/Conficker által létrehozott ütemezett feladatokat a következő paranccsal az ügyfeleken:

    at /delete /yes

Ha a fenti lépések nem oldják meg a problémát, állítsa vissza az összes jelszót, majd végezze el a következő lépéseket annak megállapítására, hogy mely gépek próbálják még mindig terjeszteni a fertőzést: 

  1. A sikertelen bejelentkezési események naplózásának bekapcsolása:

      1. A tartományvezérlőkön kattintson a StartFelügyeleti eszközökTartományvezérlés biztonsági házirendje gombra.

      1. Navigáljon a Biztonsági beállításokHelyi házirendekEllenőrzési házirendBejelentkezési események ellenőrzése.

      1. Győződjön meg róla, hogy a Bejelentkezési események ellenőrzése úgy van beállítva, hogy az összes Sikeres és Sikertelen eseményt rögzítse.

  2. Figyelje a tartományvezérlő(k) biztonsági eseménynaplóját 529-es eseményazonosítókra (ha nem fordul elő 529-es esemény, akkor a Win32/Conficker a megfelelő rendszergazdai jelszavakat használja - a jelszavakat ezért meg kell változtatni).
     
  3. Az esemény tulajdonságainak megtekintésekor megjelenik a "Munkaállomás neve". Ez az elkövető, vagy az egyik elkövető, aki megpróbál megfertőzni más számítógépeket.
     
  4. Menjen az azonosított ügyfél(ek)hez, és ismételje meg a fenti 1-5. lépést.

A fenti Tisztítási lépések (Hálózat) lépések elvégzése után az összes adminisztrációs jelszót újra meg kell változtatni, hogy a Conficker ne ismerje ezeket a jelszavakat. Ha a Conficker az összes gép foltozása után még mindig fenyegetéseket mutat, akkor vagy van még egy foltozatlan gép, vagy az ESET nincs telepítve és frissítve egy gépen.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

 

Utolsó frissítés: 2026. márc. 4.

További lehetőségek:

Felhasználói kézikönyvek

ESET Security Forum

Tudásbázis videók
ESET Status Portal ESET Technical Support

Meglévő ügyfél?