[KB2209] Conficker - kaip apsisaugoti?

PASTABA:

Šį puslapį išvertė kompiuteris. Norėdami peržiūrėti originalų tekstą, spustelėkite anglų kalbą šio puslapio skiltyje Kalbos. Jei jums kas nors neaišku, kreipkitės į vietinę pagalbos tarnybą.

Problema

Grėsmės "Win32/Conficker" pavojus kyla dėl "Microsoft" operacinės sistemos pažeidžiamumo (2008 m. spalio mėn. "Microsoft" išleido šio pažeidžiamumo pataisą). Kad išvengtumėte "Microsoft" operacinės sistemos pažeidžiamumo sukeliamos infekcijos, įsitikinkite, kad jūsų kompiuteryje (ir visuose tinklo kompiuteriuose) visada atnaujinta naujausia "Microsoft Windows" atnaujinimo versija. Naujausius atnaujinimus galite rasti adresu http://update.microsoft.com/.

Norėdami apsisaugoti nuo "Conficker", vadovaukitės šiame straipsnyje pateiktomis nuosekliomis instrukcijomis. Arba spustelėkite atitinkamą toliau pateiktą nuorodą ir pereikite prie konkretaus skyriaus:

Sprendimas

Infekcijos prevencija

A-atsisiųskite "Microsoft" saugumo pataisas
Jei nenorite atsisiųsti visų "Windows" atnaujinimų, bet norite užtikrinti, kad esate bent jau apsaugoti nuo "Win32/Conficker" grėsmių, atsisiųskite ir įdiekite toliau nurodytuose "Microsoft" saugumo biuleteniuose esančius pataisymus(KB958644, KB957097 ir KB958687):
B - Išjungti automatinį paleidimą ir automatinį atkūrimą (Windows XP ir Windows Vista)

Kad kenkėjiškos programinės įrangos kūrėjai negalėtų piktnaudžiauti šiomis saugumo spragomis, "Windows" sistemoje galite išjungti "Autorun" ir "Autoplay" funkcijas. USB diskai ir kitos keičiamos laikmenos, prie kurių "Autorun" ir "Autoplay" funkcijos prisijungia kiekvieną kartą (pagal nutylėjimą) prijungus juos prie kompiuterio, šiuo metu yra dažniausiai naudojami virusų nešiotojai.

"Microsoft Windows Autorun" ir "Autoplay" - tai funkcijos, kurios iš pradžių buvo skirtos supaprastinti kompaktinio disko turinio paleidimą, automatiškai: (i) vykdant Autorun.inf failą (ir jame esančias galimas kenkėjiškas instrukcijas) - Autorun pažeidžiamumas (ii) atidarant iššokantį langą su galimais veiksmais (kai kurie iš jų gali būti iš kenkėjiško Autorun.inf perimti priešiški trigeriai) - Autoplay pažeidžiamumas

Kai kurie terminai gali skirtis

Kai kurie toliau nurodytuose veiksmuose vartojami terminai gali šiek tiek skirtis, priklausomai nuo jūsų naršyklės.

  1. Jei norite išjungti "Autorun" ir "Autoplay", dešiniuoju pelės klavišu spustelėkite šią nuorodą, kad atsisiųstumėte failą DisableAutorun.reg, ir pasirinkite Išsaugoti nuorodą kaip...
  2. Įrašyti kaip lange įsitikinkite, kad:

    (i) išplečiamajame meniu Save As Type (Įrašyti kaip tipą) pasirinkite All files (Visi failai) arba Registration Entries (*.reg) (arba panašiai, priklausomai nuo naršyklės)

    ii) lauke File Name (Failo pavadinimas) būtų įrašytas tikslus registro failo pavadinimas (t. y. DisableAutorun.reg)
  3. Spustelėkite Išsaugoti. Patvirtinkite visus raginimus išsaugoti registro failą.
  4. Dukart spustelėkite išsaugotą failą ir patvirtinkite registro įrašo pridėjimą spustelėdami Yes (taip). Spustelėkite Gerai, kad baigtumėte.
Įspėjimas

Importavus atsisiųstą failą į "Windows" registrą, sistema ignoruos bet kokį Autorun.inf failą. Nors tai visiškai išjungia Autorun funkciją, automatinio paleidimo funkcija ir toliau bus rodoma, tačiau ji neįtrauks potencialiai pavojingų Autorun.inf parinkčių. Turite nepamiršti, kad šios prevencinės saugumo priemonės nepanaikina galimų kenkėjiškų programų užkrėtimų. Rekomenduojame būti griežtai atsargiems atidarant / vykdant / spustelint bet kokius nežinomus failus!

Svarbu

Kad atsisiųstas failas veiktų tinkamai, jis turi būti išsaugotas kaip .reg plėtinys . Jei dukart spustelėjus failą nepavyksta paleisti registro redaktoriaus dialogo lango, dešiniuoju pelės klavišu spustelėkite failo piktogramą, pasirinkite Properties (ypatybės) ir kortelėje General (Bendrosios) redaguokite failo pavadinimą, kad paskutinės keturios failo pavadinimo eilutės būtų .reg. Patvirtinkite visus raginimus įrašyti pakeitimus.

PASTABA

Rekomenduojame perskaityti šį straipsnį, kuriame rasite daugiau informacijos apie šį sprendimą.

B2 - Kaip iš naujo įjungti "Autorun" ir "Autoplay" ("Windows XP" ir "Windows Vista")

Jei reikia atšaukti pakeitimus, kuriuos atlikote pagal B skyriaus (pirmiau) nurodymus, dešiniuoju pelės klavišu spustelėkite šią nuorodą, kad atsisiųstumėte failą ReenableAutorun.reg, ir pakartokite B skyriaus (pirmiau) nurodymus, tik šį kartą naudokite failą ReenableAutorun.reg.

Svarbu

Kad pakeitimai įsigaliotų, turėsite iš naujo paleisti kompiuterį.

PASTABA

Be to, kad atsisiųstumėte ir įdiegtumėte naujausias saugumo pataisas, galite imtis kitų atsargumo priemonių, kad sumažintumėte infekcijos riziką. Spauskite čia, kad sužinotumėte daugiau strategijų, kaip sumažinti kenkėjiškų programų atakos riziką. Jei esate tinklo administratorius, Spustelėkite čia, kad sužinotumėte, kokių veiksmų galite imtis, kad sumažintumėte likusią užkrėtimo riziką savo tinkle.

Valymo veiksmai (vienas kompiuteris)

Jei susiduriate arba susidūrėte su Win32/Conficker kenkėjiška programine įranga, visiškai atnaujinta ESET produkto versija (3.0 ar vėlesnė versija) išvalys infekciją.
Svarbu

Siekiant išvengti pakartotinio užkrėtimo, operacinė sistema turi būti tinkamai užtaisyta naudojant visas nuorodas iš A skyriaus aukščiau.

  1. Atjunkite užkrėstą kompiuterį nuo tinklo ir interneto.

  2. Naudodami neužkrėstą kompiuterį atsisiųskite atitinkamus "Windows" pataisymus iš A skyriaus pirmiau. Įdiekite visus pataisymus.

  3. Iš naujo nustatykite sistemos administratoriaus paskyrų slaptažodžius, naudodami sudėtingesnius slaptažodžius. Atkreipkite dėmesį, kad įsiskverbimas gali plisti per bendrinamus aplankus.

    (i.) Paspauskite CTRL+ALT+DELETE, tada spustelėkite Keisti slaptažodį...

    (ii.) Įveskite senąjį slaptažodį, įveskite naująjį slaptažodį, dar kartą įveskite naująjį slaptažodį, kad jį patvirtintumėte, tada paspauskite ENTER.

  4. Atsisiųskite vienkartinę ESET programą (vėlgi naudodami neužkrėstą kompiuterį), kuri pašalins kirminą. Jei neturite įdiegto ESET produkto (3.0 ar naujesnės versijos), galite atsisiųsti (naudodami neužkrėstą kompiuterį) ir paleisti mūsų nemokamą vienkartinį valiklį:

  5. Atsisiųskite ir įdiekite naujausią ESET programinės įrangos versiją.

  6. Atnaujinkite savo virusų parašų duomenų bazę.

Norėdami patikrinti, ar atskiras valiklis pašalino Conficker grėsmę, dar kartą paleiskite atskirą valiklį ir tada paleiskite nuskaitymą su savo ESET produktu.

Sėkmingai paleidus atskirą ESET valiklį, rekomenduojame perskaityti šį "Microsoft" straipsnį, kuriame rasite informacijos apie svarbius saugumo pataisymus ir rekomenduojamus grupių pakeitimus:

PASTABA

Jei ESET autonominis valiklis visiškai nepašalina Conficker grėsmės, aukščiau pateiktame Microsoft straipsnyje taip pat pateikiamos rankinio Conficker pašalinimo instrukcijos.

Norėdami maksimaliai apsisaugoti nuo būsimų grėsmių, įsitikinkite, kad jūsų operacinė sistema yra pataisyta pagal Microsoft rekomendacijas ir kad jūsų ESET produktas yra atnaujintas.

Svarbu

Daugiau informacijos apie apsaugą nuo Conficker kirmino rasite mūsų ESET tinklaraščio įrašuose.

Valymo žingsniai (tinklas)

Naudokite NMap, kad surastumėte užkrėstus kompiuterius

Jei įtariate, kad Conficker infekcija yra užkrėsti jūsų tinklo kompiuteriai, galite naudoti nemokamą įrankį NMap, kad aptiktumėte užkrėstus klientus naudodami šias komandas:

  • Norėdami nuskaityti tinklą: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [tiksliniai tinklai]
  • Greitesniam nuskaitymui: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [target networks]
  • Išsamiam nuskaitymui: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [tiksliniai tinklai]
  1. Jei nenorite atsisiųsti visų "Windows" atnaujinimų, bet norite būti tikri, kad esate bent jau apsaugoti nuo "Win32/Conficker" grėsmių, atsisiųskite ir į visus savo tinklo kompiuterius įdiekite toliau nurodytuose "Microsoft" saugumo biuleteniuose(KB958644, KB957097 ir KB958687) esančius pataisymus:
    Pataisos nereikalingos "Windows 7" ir "Server 2008"

    Toliau nurodyti pataisymai nereikalingi "Windows 7" ir "Server 2008 r2" operacinėms sistemoms, nes šiose operacinėse sistemose nėra "Conficker" naudojamo trikdžio. Tačiau "Microsoft Windows Server 2008" reikia toliau nurodytų pataisymų .



  2. Įdiekite ir atnaujinkite ESET saugumo sprendimą visuose kompiuteriuose
  3. Pakeiskite visus slaptažodžius tinkle, nes Conficker naudosis visais slaptažodžiais, kuriuos jau yra užregistravęs ar pasiekęs brutalia jėga.

  4. Kiekviename kompiuteryje paleiskite ESET Conficker šalinimo įrankį:

  5. Pašalinkite visas suplanuotas užduotis, kurias sukūrė Win32/Conficker, naudodami šią komandą klientuose:

    at /delete /yes

Jei pirmiau nurodyti veiksmai problemos neišsprendžia, iš naujo nustatykite visus slaptažodžius ir tada atlikite toliau nurodytus veiksmus, kad nustatytumėte, kuriuose kompiuteriuose vis dar bandoma platinti infekciją:

  1. Įjunkite nepavykusių prisijungimo įvykių auditą:

      1. Domeno valdikliuose spustelėkite " Start" → " Administravimo įrankiai " → " Domeno valdymo saugumo politika".

      1. Pereikite į Saugumo nustatymaiVietinės politikosAudito politika → Audito politikaAudituoti prisijungimo įvykius.

      1. Įsitikinkite, kad nustatyme "Audit Logon Events" nustatyta įrašyti visus sėkmingus ir nesėkmingus įvykius.

  2. Stebėkite savo domeno valdiklio (-ių) saugumo įvykių žurnalą, ar jame nėra 529 įvykio ID (jei 529 įvykių nėra, vadinasi, "Win32/Conficker" naudoja teisingus administravimo slaptažodžius - todėl slaptažodžius reikės pakeisti).
  3. Peržiūrėdami įvykio savybes, pamatysite "Workstation Name" (darbo vietos pavadinimas). Tai yra kaltininkas arba vienas iš kaltininkų, kuris bando užkrėsti kitus kompiuterius.
  4. Eikite į nurodytą (-us) klientą (-us) ir pakartokite 1-5 veiksmus.

Atlikus pirmiau nurodytus valymo žingsnius (tinklas), reikėtų dar kartą pakeisti visus administracinius slaptažodžius, kad įsitikintumėte, jog "Conficker" neturi nė vieno iš šių slaptažodžių. Jei Conficker vis dar rodo grėsmes po to, kai visi kompiuteriai yra užtaisyti, vadinasi, yra likęs neužtaisytas kompiuteris arba kompiuteryje nėra įdiegta ir atnaujinta ESET programa.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Paskutinį kartą atnaujinta: 2026-04-10

Papildomi ištekliai

Naudotojo vadovai

ESET forumas

„YouTube“ vaizdo įrašai
ESET Status Portal ESET Technical Support

Esamas klientas?