[KB2209] Conficker - kā sevi aizsargāt?

PIEZĪME:

Šo lapu ir iztulkojis dators. Lai parādītu oriģināltekstu, šīs lapas sadaļā Valodas noklikšķiniet uz Angļu valoda. Ja jums kaut kas nav skaidrs, lūdzu, sazinieties ar vietējo atbalsta dienestu.

Izdevums

Risks, ka varat saskarties ar Win32/Conficker apdraudējumu, ir saistīts ar Microsoft operētājsistēmas ievainojamību (Microsoft 2008. gada oktobrī izdeva šīs ievainojamības labojumu). Lai izvairītos no Microsoft operētājsistēmas ievainojamību izraisītas infekcijas, pārliecinieties, ka jūsu datorā (un visos tīklā esošajos datoros) vienmēr ir atjaunināts jaunākais Microsoft Windows atjauninājums. Jaunākos atjauninājumus var atrast vietnē http://update.microsoft.com/.

Lai pasargātu sevi no Conficker, ievērojiet šajā rakstā sniegtos norādījumus soli pa solim. Vai arī noklikšķiniet uz attiecīgās saites zemāk, lai pārietu uz konkrētu sadaļu:

Risinājums

Infekcijas novēršana

A- Lejupielādējiet Microsoft drošības ielāpus
Ja nevēlaties lejupielādēt visus Windows atjauninājumus, bet vēlaties nodrošināt vismaz aizsardzību pret Win32/Conficker draudiem, lejupielādējiet un instalējiet labojumus(KB958644, KB957097 un KB958687), kas iekļauti šādos Microsoft drošības biļetenos:
B - Atslēgt automātisko palaišanu un automātisko atskaņošanu (Windows XP un Windows Vista)

Iespējams, vēlaties atspējot Autorun un Autoplay funkcijas savā Windows sistēmā, lai novērstu ļaunprātīgu programmatūras izstrādātāju iespējas ļaunprātīgi izmantot šīs drošības nepilnības. Mūsdienās visbiežāk izmantotie vīrusu nesēji ir USB diski un citi noņemamie datu nesēji, kuriem Autorun/Autoplay funkcijas piekļūst katru reizi (pēc noklusējuma), kad tos pieslēdzat datoram.

Microsoft Windows Autorun un Autoplay ir funkcijas, kas sākotnēji bija paredzētas, lai vienkāršotu kompaktdiska satura palaišanu, automātiski: (i) izpildot Autorun.inf failu (un tajā esošās iespējamās ļaunprātīgās instrukcijas) - Autorun ievainojamība(ii) atverot uznirstošo logu ar pieejamām darbībām (dažas no tām var būt naidīgi palaidēji, kas pārņemti no ļaunprātīga Autorun.inf) - Autoplay ievainojamība

Daži termini var atšķirties

Daži turpmāk aprakstītajos soļos izmantotie termini var nedaudz atšķirties atkarībā no jūsu pārlūkprogrammas.

  1. Ja vēlaties atspējot Autorun un Autoplay, noklikšķiniet uz šīs saites ar peles labo pogu, lai lejupielādētu failu DisableAutorun.reg, un izvēlieties Saglabāt saiti kā...
  2. Saglabāt kā logā pārliecinieties, ka:

    (i) nolaižamajā izvēlnē Saglabāt kā veidu ir iestatīts uz Visi faili vai Reģistrācijas ieraksti (*.reg) (vai līdzīgi, atkarībā no jūsu pārlūkprogrammas)

    (ii) faila nosaukuma laukā ir norādīts precīzs reģistra faila nosaukums (t. i., DisableAutorun.reg)
  3. Noklikšķiniet uz Saglabāt. Apstipriniet visus uzaicinājumus saglabāt reģistra failu.
  4. Divreiz noklikšķiniet uz saglabātā faila un apstipriniet reģistra ieraksta pievienošanu, noklikšķinot uz . Noklikšķiniet uz Labi, lai pabeigtu.
Brīdinājums

Pēc lejupielādētā faila importēšanas Windows reģistrā sistēma ignorēs jebkuru Autorun.inf failu. Lai gan tas pilnībā atslēgs Autorun funkcionalitāti, automātiskās atskaņošanas funkcija turpinās parādīties, tomēr tā izslēgs potenciāli bīstamās Autorun.inf opcijas. Jāatceras, ka šie preventīvie drošības pasākumi neiznīcina potenciālās ļaunprogrammatūras infekcijas. Mēs iesakām ievērot stingru piesardzību, atverot/izpildot/noklikšķinot uz nezināmiem failiem!

Svarīgi

Lai lejupielādētais fails darbotos pareizi, tam jābūt saglabātam ar paplašinājumu .reg. Ja, divreiz noklikšķinot uz faila, netiek atvērts reģistra redaktora dialoglodziņš, noklikšķiniet uz faila ikonas ar peles labo pogu, izvēlieties Properties (Īpašības) un rediģējiet faila nosaukumu cilnē General (Vispārīgi), lai pārliecinātos, ka faila nosaukuma pēdējās četras virknes ir .reg. Apstipriniet visus uzaicinājumus, lai saglabātu izmaiņas.

PIEZĪME

Lai iegūtu plašāku informāciju par šo risinājumu, iesakām izlasīt šo rakstu.

B2 - Kā atkārtoti aktivizēt Autorun un Autoplay (Windows XP un Windows Vista)

Ja nepieciešams atcelt izmaiņas, kas veiktas pēc B sadaļā (iepriekš) sniegtajiem norādījumiem, noklikšķiniet ar peles labo pogu uz šīs saites, lai lejupielādētu failu ReenableAutorun.reg, un atkārtojiet B sadaļā (iepriekš) sniegtos norādījumus, tikai šoreiz izmantojiet ReenableAutorun.reg failu.

Svarīgi

Lai izmaiņas stātos spēkā, dators būs jārestartē.

PIEZĪME

Papildus jaunāko drošības ielāpu lejupielādei un instalēšanai varat veikt citus piesardzības pasākumus, lai samazinātu inficēšanās risku. Spiediet šeit, lai uzzinātu vairāk stratēģiju, kā samazināt ļaunprātīgas programmatūras uzbrukuma risku. Ja esat tīkla administrators, klikšķiniet šeit, lai uzzinātu, kādus pasākumus varat veikt, lai samazinātu pārējo inficēšanās risku savā tīklā.

Tīrīšanas soļi (viena mašīna)

Ja saskaraties vai esat saskāries ar Win32/Conficker ļaunprogrammatūru, pilnībā atjaunināta ESET produkta versija (3.0 vai jaunāka versija) attīrīs infekciju.
Svarīgi

Lai izvairītos no atkārtotas operētājsistēmas inficēšanas, tā ir pareizi jālabo, izmantojot visas A sadaļā minētās saites.

  1. Atvienojiet inficēto datoru no tīkla un interneta.

  2. Izmantojiet neinficētu datoru, lai lejupielādētu attiecīgos Windows ielāpus no A sadaļas iepriekš. Instalējiet visus labojumus.

  3. Atiestatiet sistēmas administratora kontu paroles, izmantojot sarežģītākas paroles. Ņemiet vērā, ka infiltrācija var izplatīties, izmantojot koplietojamās mapes.

    (i.) Nospiediet CTRL+ALT+DELETE un pēc tam noklikšķiniet uz Mainīt paroli... (i.).

    (ii.) Ierakstiet veco paroli, ievadiet jauno paroli, vēlreiz ievadiet jauno paroli, lai to apstiprinātu, un pēc tam nospiediet ENTER.

  4. Lejupielādējiet vienreizēju ESET programmu (atkal izmantojot neinficētu datoru), kas noņems tārpu. Ja jums nav instalēts ESET produkts (3.0 vai jaunāka versija), varat lejupielādēt (izmantojot neinficētu datoru) un palaist mūsu bezmaksas atsevišķo tīrīšanas programmu:

  5. Lejupielādējiet un instalējiet jaunāko ESET programmatūras versiju.

  6. Atjauniniet savu vīrusu parakstu datubāzi.

Lai pārliecinātos, ka patstāvīgais tīrīšanas rīks ir likvidējis Conficker draudus, atkārtoti palaidiet patstāvīgo tīrīšanas rīku un pēc tam palaidiet skenēšanu ar savu ESET produktu.

Pēc veiksmīgas ESET autonomā tīrīšanas līdzekļa palaišanas iesakām izlasīt šādu Microsoft rakstu, lai iegūtu informāciju par svarīgiem drošības ielāpējumiem un ieteicamajām grupu izmaiņām:

PIEZĪME

Ja ESET standalone tīrītājs pilnībā nenoņem Conficker draudus, Microsoft rakstā iepriekš ir arī norādījumi par Conficker noņemšanu manuāli.

Lai nodrošinātu maksimālu aizsardzību pret turpmākiem apdraudējumiem, pārliecinieties, ka operētājsistēma ir ielāpusies atbilstoši Microsoft ieteikumiem un ka jūsu ESET produkts ir atjaunināts.

Svarīgi

Lai atrastu papildu informāciju par aizsardzību pret Conficker tārpu, lūdzu, skatiet mūsu ESET bloga ierakstus.

Tīrīšanas soļi (Tīkls)

Izmantojiet NMap, lai atrastu inficētos datorus

Ja jums ir aizdomas, ka jūsu tīkla datoros ir Conficker infekcija, varat izmantot bezmaksas utilītu NMap, lai noteiktu inficētos klientus, izmantojot šādas komandas:

  • Lai skenētu tīklu: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [mērķa tīkli]
  • Ātrākai skenēšanai: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [target networks]
  • Padziļinātai skenēšanai: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [target networks]
  1. Ja nevēlaties lejupielādēt visus Windows atjauninājumus, bet vēlaties nodrošināt vismaz aizsardzību pret Win32/Conficker draudiem, lejupielādējiet un instalējiet visos savā tīklā esošajos datoros turpmāk minētajos Microsoft drošības biļetenos ietvertos labojumus(KB958644, KB957097 un KB958687):
    Windows 7 un Server 2008 operētājsistēmai labojumi nav nepieciešami

    Turpmāk minētie labojumi nav nepieciešami operētājsistēmām Windows 7 un Server 2008 r2, jo šajās operētājsistēmās Conficker izmantotais ekspluatants nepastāv. Tomēr Microsoft Windows Server 2008 ir nepieciešami turpmāk minētie ielāpi.



  2. Uzstādiet un atjauniniet ESET drošības risinājumu visos datoros
  3. Mainiet visas paroles tīklā, jo Conficker izmantos visas paroles, kuras tas jau ir pieteicis vai ieguvis ar brutālu spēku.

  4. Palaidiet ESET Conficker noņemšanas rīku katrā datorā:

  5. Noņemiet visus plānotos uzdevumus, ko izveidojis Win32/Conficker, izmantojot šādu komandu klientos:

    at /delete /yes

Ja iepriekš minētie soļi neatrisina problēmu, atiestatiet visas paroles un pēc tam veiciet turpmāk norādītos soļus, lai noteiktu, kurās mašīnās joprojām tiek mēģināts izplatīt infekciju:

  1. Ieslēdziet neveiksmīgu pieteikšanās notikumu revīziju:

      1. Uz domēna kontrolieriem noklikšķiniet uz SākumsAdministratīvie rīkiDomēna kontroles drošības politika.

      1. Pārejiet uz Drošības iestatījumiVietējās politikasAudita politikaAuditēt pieteikšanās notikumus.

      1. Pārliecinieties, ka ir iestatīts Audit Logon Events (Pieslēgšanās notikumu audits), lai reģistrētu visus veiksmīgos un neveiksmīgos notikumus.

  2. Pārraugiet drošības notikumu žurnālu savā domēna kontrolierī(-os), lai atrastu 529 notikuma ID (ja 529 notikumi nenotiek, tad Win32/Conficker izmanto pareizas administrēšanas paroles - tāpēc jūsu paroles būs jānomaina).
  3. Pārskatot notikuma rekvizītus, redzēsiet "Workstation Name" (Darba stacijas nosaukums). Tas ir vainīgais vai viens no vainīgajiem, kas mēģina inficēt citus datorus.
  4. Pārejiet uz identificēto(-ajiem) klientu(-iem) un atkārtojiet 1.-5. darbību.

Pēc iepriekš minēto tīrīšanas soļu (Tīkls) darbību veikšanas vēlreiz jānomaina visas administratīvās paroles, lai pārliecinātos, ka Conficker nav nevienas no šīm parolēm. Ja Conficker joprojām uzrāda draudus pēc tam, kad visas mašīnas ir aizlāpītas, tad vai nu ir palikusi kāda neaizlāpēta mašīna, vai arī ESET nav instalēta un atjaunināta kādā datorā.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Pēdējoreiz atjaunināts: 2026. gada 13. apr.

Papildu resursi

Lietotāja rokasgrāmatas

ESET forums

YouTube videoklipi
ESET Status Portal ESET Technical Support

Esošais klients?