[KB2209] Conficker - Hvordan beskytter jeg meg?

MERK:

Denne siden er oversatt av en datamaskin. Klikk på engelsk under Språk på denne siden for å se originalteksten. Hvis noe er uklart, kan du kontakte din lokale kundestøtte.

Problemstilling

Du risikerer å bli utsatt for Win32/Conficker-trusselen på grunn av en sårbarhet i Microsofts operativsystem (Microsoft lanserte en oppdatering for denne sårbarheten i oktober 2008). For å unngå infeksjoner som skyldes sårbarheter i Microsoft-operativsystemet, må du sørge for at datamaskinen din (og alle datamaskiner i nettverket) alltid er oppdatert med den nyeste Microsoft Windows-oppdateringen. Du finner de nyeste oppdateringene på http://update.microsoft.com/.

Følg de trinnvise instruksjonene i denne artikkelen for å beskytte deg mot Conficker. Du kan også klikke på den aktuelle lenken nedenfor for å gå til en bestemt del:

Løsning

Forebygging av infeksjon

A-Last ned sikkerhetsoppdateringer fra Microsoft
Hvis du ikke ønsker å laste ned alle Windows-oppdateringer, men vil sikre at du i det minste er beskyttet mot Win32/Conficker-truslene, kan du laste ned og installere oppdateringene(KB958644, KB957097 og KB958687) i følgende Microsoft Security Bulletins:
B - Deaktiver Autorun og Autoplay (Windows XP og Windows Vista)

Det kan være lurt å deaktivere Autorun- og Autoplay-funksjonene i Windows-systemet ditt for å forhindre at ondsinnede programvareprodusenter misbruker disse sikkerhetshullene. USB-stasjoner og andre flyttbare medier, som får tilgang til Autorun/Autoplay-funksjonene hver gang (som standard) du kobler dem til datamaskinen, er de mest brukte virusbærerne i disse dager.

Microsoft Windows Autorun og Autoplay er funksjoner som i utgangspunktet var ment å forenkle kjøring av CD-innhold ved å automatisk:(i) kjøre Autorun .inf-filen (og eventuelle skadelige instruksjoner den inneholder) - Autorun-sårbarhet(ii) åpne et popup-vindu med tilgjengelige handlinger (hvorav noen kan være fiendtlige utløsere som er overtatt fra en skadelig Autorun .inf) - Autoplay-sårbarhet

Noen av begrepene kan være forskjellige

Noen av begrepene som brukes i trinnene nedenfor kan variere noe, avhengig av hvilken nettleser du bruker.

  1. Hvis du vil deaktivere Autorun og Autoplay, høyreklikker du på denne lenken for å laste ned filen DisableAutorun.reg, og velger Lagre lenke som...
  2. I Lagre som-vinduet må du sørge for at:

    (i) rullegardinmenyen Lagre som-type er satt til Alle filer eller Registreringsoppføringer (*.reg) (eller lignende, avhengig av hvilken nettleser du bruker)

    (ii) Filnavn-feltet inneholder det eksakte navnet på registerfilen (f.eks. DisableAutorun.reg)
  3. Klikk på Save (Lagre). Bekreft eventuelle spørsmål om å lagre registerfilen.
  4. Dobbeltklikk på den lagrede filen og bekreft at du har lagt til registeroppføringen ved å klikke på Ja. Klikk på OK for å fullføre.
Advarsel

Etter at du har importert den nedlastede filen til Windows-registeret, vil alle Autorun.inf-filer bli ignorert av systemet. Selv om dette deaktiverer Autorun-funksjonaliteten fullstendig, vil Autoplay-funksjonen fortsette å dukke opp, men den vil ekskludere de potensielt farlige Autorun. inf-alternativene. Du må huske på at disse forebyggende sikkerhetstiltakene ikke eliminerer potensielle infeksjoner med skadelig programvare. Vi anbefaler streng forsiktighet når du åpner/utfører/klikker på ukjente filer!

Det er viktig at

Den nedlastede filen må være lagret som en .reg-utvidelse for å fungere ordentlig. Hvis du ikke får opp dialogvinduet Registerredigering ved å dobbeltklikke på filen, høyreklikker du på filikonet, velger Egenskaper og redigerer filnavnet i kategorien Generelt for å sikre at de fire siste strengene i filnavnet er .reg. Bekreft eventuelle spørsmål for å lagre endringene.

MERK

Vi anbefaler at du leser følgende artikkel for mer informasjon om denne løsningen.

B2 - Slik aktiverer du Autorun og Autoplay på nytt (Windows XP og Windows Vista)

Hvis du har behov for å angre endringene du har gjort i henhold til instruksjonene i avsnitt B (ovenfor), høyreklikker du på denne lenken for å laste ned filen ReenableAutorun.reg og gjentar instruksjonene fra avsnitt B (ovenfor), men denne gangen bruker du filen ReenableAutorun.reg.

Det er viktig at

Du må starte datamaskinen på nytt for at endringene skal tre i kraft.

MERK

I tillegg til å laste ned og installere de nyeste sikkerhetsoppdateringene, kan du ta andre forholdsregler for å redusere risikoen for infeksjon. Klikk her for flere strategier for å minimere risikoen for angrep fra skadelig programvare. Hvis du er nettverksadministrator, Klikk her for å se hvilke tiltak du kan iverksette for å minimere risikoen for en infeksjon i nettverket ditt.

Rengjøringstrinn (enkeltmaskin)

Hvis du støter på eller har støtt på skadevaren Win32/Conficker, vil en fullstendig oppdatert versjon av et ESET-produkt (versjon 3.0 eller nyere) rense infeksjonen.
Det er viktig å

For å unngå at operativsystemet blir infisert på nytt, må det oppdateres på riktig måte ved å bruke alle koblingene fra avsnitt A ovenfor.

  1. Koble den infiserte datamaskinen fra nettverket og Internett.

  2. Bruk en uinfisert PC til å laste ned de respektive Windows-oppdateringene fra avsnitt A ovenfor. Installer alle oppdateringene.

  3. Tilbakestill systempassordene til administratorkontoer ved hjelp av mer sofistikerte passord. Vær oppmerksom på at infiltrasjonen kan spre seg gjennom delte mapper.

    (i.) Trykk CTRL+ALT+DELETE, og klikk deretter på Endre passord...

    (ii.) Skriv inn det gamle passordet ditt, skriv inn det nye passordet, skriv inn det nye passordet igjen for å bekrefte det, og trykk deretter ENTER.

  4. Last ned et ESET-program (igjen, bruk en ikke-infisert PC) som vil fjerne ormen. Hvis du ikke har et ESET-produkt (3.0 eller nyere) installert, kan du laste ned (ved hjelp av en ikke-infisert PC) og kjøre vårt gratis frittstående renseprogram:

  5. Last ned og installer den nyeste versjonen av ESET-programvaren din.

  6. Oppdater din virussignaturdatabase.

For å bekrefte at den frittstående renseren fjernet Conficker-trusselen, kan du kjøre den frittstående renseren på nytt og deretter kjøre en skanning med ESET-produktet ditt.

Etter at du har kjørt ESETs frittstående rensingsprogram, anbefaler vi at du leser følgende Microsoft-artikkel for å få informasjon om viktige sikkerhetsoppdateringer og anbefalte gruppeendringer:

MERK

Hvis ESETs frittstående rensingsprogram ikke fjerner Conficker-trusselen fullstendig, inneholder Microsoft-artikkelen ovenfor også instruksjoner for manuell fjerning av Conficker.

For maksimal beskyttelse mot fremtidige trusler bør du sørge for at operativsystemet ditt er oppdatert i henhold til Microsofts anbefalinger, og at ESET-produktet ditt er oppdatert.

Viktig å vite

For mer informasjon om hvordan du beskytter deg mot Conficker-ormen, se våre ESET-blogginnlegg.

Rengjøringstrinn (nettverk)

Bruk NMap til å finne infiserte maskiner

Hvis du mistenker at en Conficker-infeksjon finnes på datamaskiner i nettverket ditt, kan du bruke gratisverktøyet NMap til å oppdage infiserte klienter ved hjelp av følgende kommandoer:

  • Slik skanner du nettverket ditt: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [målnettverk]
  • For en raskere skanning: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [målnettverk]
  • For en grundig skanning: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [målnettverk]
  1. Hvis du ikke ønsker å laste ned alle Windows-oppdateringene, men vil sikre at du i det minste er beskyttet mot Win32/Conficker-trusler, kan du laste ned og installere oppdateringene(KB958644, KB957097 og KB958687) i følgende Microsoft Security Bulletins på alle maskinene i nettverket ditt:
    Oppdateringene er ikke nødvendige for Windows 7 og Server 2008

    Oppdateringene nedenfor er ikke nødvendige for Windows 7 eller Server 2008 r2, ettersom angrepet som Conficker bruker, ikke finnes på disse operativsystemene. Microsoft Windows Server 2008 krever imidlertid oppdateringene nedenfor.



  2. Installer og oppdater en ESET-sikkerhetsløsning på alle maskiner
  3. Endre alle passord på nettverket, da Conficker vil bruke alle passord den allerede har logget inn eller fått tak i ved hjelp av brute force.

  4. Kjør ESET Conficker Removal Tool på hver maskin:

  5. Fjern alle planlagte oppgaver som ble opprettet av Win32/Conficker, ved å bruke følgende kommando på klientene:

    at /delete /yes

Hvis trinnene ovenfor ikke løser problemet, tilbakestiller du alle passord og utfører deretter følgende trinn for å identifisere hvilke maskiner som fortsatt forsøker å spre infeksjonen:

  1. Slå på overvåking av mislykkede påloggingshendelser:

      1. På domenekontrollerne klikker du på StartAdministrative verktøySikkerhetspolicy for domenekontroll.

      1. Naviger til SikkerhetsinnstillingerLokale policyerRevisjonspolicyRevisjon av påloggingshendelser.

      1. Kontroller at Revisjon av påloggingshendelser er satt til å registrere alle vellykkede og mislykkede hendelser.

  2. Overvåk sikkerhetshendelsesloggen på domenekontrolleren(e) for hendelses-IDer på 529 (hvis ingen 529-hendelser forekommer, bruker Win32/Conficker riktige administrative passord - passordene dine må derfor endres).
  3. Når du ser på egenskapene til hendelsen, vil du se et "Workstation Name". Dette er den skyldige, eller en av de skyldige, som prøver å infisere andre datamaskiner.
  4. Gå til klienten(e) som er identifisert, og gjenta trinn 1-5 ovenfor.

Etter at du har fullført trinnene ovenfor for Cleaning Steps (Network) , bør alle administrative passord endres på nytt for å sikre at Conficker ikke har noen av disse passordene. Hvis Conficker fortsatt viser trusler etter at alle maskinene er oppdatert, er det enten en maskin som ikke er oppdatert, eller ESET er ikke installert og oppdatert på en maskin.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Sist oppdatert: 17. mar. 2026

Tilleggsressurser

Brukerveiledninger

ESET Forum

YouTube-videoer
ESET Status Portal ESET Technical Support

Eksisterende kunde?