[KB2209] Conficker – Jak się przed nim chronić?

Rozwiązanie

Ryzyko zainfekowania komputera infekcją Win32/Conficker wynika z podatności systemu operacyjnego firmy Microsoft (firma Microsoft w październiku 2008 roku wypuściła łatkę, która naprawia ten problem). Aby uniknąć zarażenia tą infekcją zawsze aktualizuj swój system operacyjny. Najnowsze aktualizacje możesz znaleźć na stronie http://update.microsoft.com/.

Zapobieganie infekcji


A - Ściągnij poprawki Microsoft

Jeżeli nie chcesz ściągać wszystkich aktualizacji Windows ale chcesz się zabezpieczyć przed Win32/Conficker, ściągnij i zainstaluj poniższe łatki:

Microsoft Security Bulletin MS08-067 – Critical - Vulnerability in Server Service Could Allow Remote Code Execution

Microsoft Security Bulletin MS08-068 – Important - Vulnerability in SMB Could Allow Remote Code Execution

Microsoft Security Bulletin MS09-001 - Critical - Vulnerabilities in SMB Could Allow Remote Code Execution

B – Wyłącz autoodtwarzanie (Windows XP i Windows Vista)

Możesz wyłączyć opcję autoodtwarzania w Twoim systemie operacyjnym aby zapobiec złośliwemu oprogramowaniu wykorzystującemu tą opcję. Nośniki wymienne (w tym nośniki USB), które korzystają (domyślnie) z funkcji autoodtwarzania przy każdym podłączeniem ich do komputera, są obecnie najczęstszą przyczyną infekcji komputera. Autoodtwarzanie to opcja, która miała umożliwić automatyczne odtworzenie zawartości płyty CD:

(i) Wykonanie pliku Autorun.inf (łącznie ze wszystkimi złośliwymi instrukcjami, które są w nim zawarte)

(ii) Otwieranie okien pop-up razem z dostępnymi akcjami (niektóre z nich mogą być złośliwymi akcjami wywołanymi przez złośliwe instrukcje w Autorun.inf)

NOTKA:

Niektóre terminy użyte poniżej mogą się różnić w zależności od przeglądarki internetowej.

1. Jeżeli chcesz wyłączyć autoodtwarzanie kliknij prawym przyciskiem myszy na ten link i wybierz Zapisz element docelowy jako … (ściągniesz plik DisableAutorun.reg)

2. W oknie Zapisz jako upewnij się, że:

(i) Opcja Zapisz jako typ jest ustawiona na Wszystkie pliki lub Wpisy w rejestrze (*.reg) (lub podobne, w zależności od przeglądarki)

(ii) pole Nazwa pliku zawiera dokładną nazwę pliku rejestru (tj. DisableAutorun.reg)

3. Kliknij Zapisz. Potwierdź wszystkie komunikaty aby zapisać plik rejestru.

4. Kliknij dwukrotnie zapisany plik i potwierdź dodanie wpisu do rejestru, klikając przycisk Tak. Kliknij przycisk OK, aby zakończyć.

UWAGA!:

Po zaimportowaniu pobranego pliku do rejestru systemu Windows, każdy plik Autorun.inf będzie ignorowany przez system. Chociaż wyłącza to funkcję Autorun całkowicie, funkcja autoodtwarzania będzie nadal wyświetlać okna pop-up, jednak będzie to wykluczać potencjalnie niebezpieczne opcji Autorun.inf. Musisz pamiętać, że te środki zapobiegawcze nie eliminują potencjalnych infekcji złośliwym oprogramowaniem. Zalecamy ostrożność podczas otwierania / wykonywania / klikania nieznanych plików!

Ważne!:

Pobrany plik musi być zapisany jako plik .reg. Jeżeli podwójne kliknięcie na plik nie uruchamia okna edytora rejestru kliknij prawym przyciskiem myszy na ikonę pliku i z menu kontekstowego wybierz Właściwości. Zmień nazwę pliku w zakładce Ogólne tak aby znaki „.reg” były ostatnimi znakami w nazwie. Zatwierdź wszystkie komunikaty aby zapisać zmiany.

NOTKA:

Więcej informacji można znaleźć w artykule: http://blog.eset.com/2009/03/25/foil-conficker-get-rid-of-autorun

 

B2 – Jak ponownie włączyć autoodtwarzanie (Windows XP i Windows Vista)

Jeżeli chcesz cofnąć zmiany wprowadzone zgodnie w systemie w punkcie B niniejszej instrukcji kliknij prawym przyciskiem na poniższy link (ściągnij plik ReenableAutorun.reg) i postępuj zgodnie z instrukcją przedstawioną w punkcie B, tylko tym razem wykorzystaj plik ReenableAutorun.reg.

Ważne!

Aby wprowadzić zmiany wymagane jest ponowne uruchomienie komputera.

NOTKA:

Oprócz pobrania i zainstalowania najnowszych łatek, można podjąć inne środki ostrożności w celu zmniejszenia ryzyka zakażenia. Kliknij tutaj aby dowiedzieć się więcej
Jeśli jesteś administratorem sieci, kliknij tutaj, aby dowiedzieć się jakie kroki można podjąć w celu zmniejszenia ryzyka pozostałych infekcji w sieci


Usuwanie infekcji


Jeżeli Twój komputer został zainfekowany Win32/Conficker w pełni zaktualizowana wersja produktów zabezpieczeń ESET usunie infekcję.

UWAGA!:

Aby uniknąć ponownego zainfekowania systemu operacyjnego należy pobrać i zainstalować odpowiednie łatki (przy użyciu wszystkich linków z sekcji A powyżej).


1. Odłącz zainfekowany komputer od sieci i Internetu.

2. Na niezainfekowanym komputerze pobierz potrzebne łatki systemu operacyjnego (z linków z sekcji A). Zainstaluj wszystkie łatki.

3. Zmień swoje hasło systemowe do konta administratora. Należy pamiętać, że infekcja może rozprzestrzeniać się za pośrednictwem udostępnionych folderów.

  • Naciśnij CTRL+ALT+DELETE a następnie Zmień hasło
  • Wpisz swoje stare hasło, następnie nowe hasło i dla potwierdzenia nowego hasła wpisz je ponownie, naciśnij Enter.

4. Pobierz aplikację ESET (używając niezainfekowanego komputera), która usunie infekcję. Jeśli nie posiadasz zainstalowanego programu ESET, można pobrać (za pomocą niezainfekowanego komputera) i uruchomić naszą bezpłatną szczepionkę:

http://download.eset.com/special/ESETConfickerCleaner.exe

5. Ściągnij i zainstaluj najnowszą wersję programu ESET.

6. Wykonaj aktualizację bazy sygnatur wirusów.


Aby sprawdzić czy szczepionka usunęła infekcję Conficker, uruchom ponownie szczepionkę a następnie uruchom skanowanie w programie ESET.

NOTKA:

Po pomyślnym uruchomieniu szczepionki, zalecamy zapoznać się z artykułem (opublikowanym przez Maicrosoft) na temat poprawek zabezpieczeń i zalecanych zmianach:
http://support.microsoft.com/kb/962007

Ważne!

Jeżeli szczepionka w pełni nie usuwa infekcji Conficker , powyższy artykuł zawiera także wskazówki jak ręcznie usunąć infekcję.

Więcej informacji o infekcji Conficker można znaleźć na blogu:http://www.eset.com/threat-center/blog/?p=865

Dla maksymalnej ochrony przed przyszłymi zagrożeniami, upewnij się, że system operacyjny jest uaktualniony zgodnie z zaleceniami firmy Microsoft i że produkt ESET jest aktualny.