[KB2209] Conficker - Cum mă protejez?

NOTĂ:

Această pagină a fost tradusă de un computer. Faceți clic pe Română în secțiunea Limbi din această pagină pentru a afișa textul original. Dacă vi se pare că ceva nu este clar, vă rugăm să contactați serviciul de asistență locală.

Problema

Riscul dvs. de expunere la amenințarea Win32/Conficker se datorează unei vulnerabilități a sistemului de operare Microsoft (Microsoft a lansat un patch pentru această vulnerabilitate în octombrie 2008). Pentru a evita infecțiile cauzate de vulnerabilitățile sistemului de operare Microsoft, asigurați-vă că computerul dumneavoastră (și toate computerele din rețeaua dumneavoastră) este întotdeauna actualizat cu cea mai recentă actualizare Microsoft Windows. Puteți găsi cele mai recente actualizări la http://update.microsoft.com/.

Pentru a vă proteja de Conficker, urmați instrucțiunile pas cu pas din acest articol. Sau, faceți clic pe link-ul corespunzător de mai jos pentru a trece la o anumită secțiune:

Soluție

Prevenirea infecției

A-Descărcați patch-urile de securitate Microsoft
Dacă nu doriți să descărcați toate actualizările Windows, dar doriți să vă asigurați că sunteți cel puțin protejat împotriva amenințărilor Win32/Conficker, descărcați și instalați patch-urile(KB958644, KB957097 și KB958687) din următoarele buletine de securitate Microsoft:
B - Dezactivați Autorun și Autoplay (Windows XP și Windows Vista)

Este posibil să doriți să dezactivați funcțiile Autorun și Autoplay din sistemul dumneavoastră Windows pentru a împiedica producătorii de software rău intenționat să abuzeze de aceste erori de securitate. Unitățile USB și alte suporturi amovibile, care sunt accesate de funcționalitățile Autorun/Autoplay de fiecare dată (în mod implicit) când le conectați la computer, sunt cei mai frecvent utilizați purtători de viruși în zilele noastre.

Microsoft Windows Autorun și Autoplay sunt funcții care, la început, erau destinate să simplifice rularea conținutului CD-urilor prin:(i) executarea automată a fișierului Autorun.inf (și a eventualelor instrucțiuni malițioase pe care le conține) - vulnerabilitate Autorun(ii) deschiderea unei ferestre pop-up cu acțiuni disponibile (dintre care unele pot fi declanșatoare ostile preluate de la un fișier Autorun.inf malițios) - vulnerabilitate Autoplay

Unii termeni pot diferi

Unii termeni utilizați în pașii de mai jos pot diferi ușor, în funcție de browserul dumneavoastră.

  1. Dacă doriți să dezactivați Autorun și Autoplay, faceți clic dreapta pe acest link pentru a descărca fișierul DisableAutorun.reg și selectați Save link as...
  2. În fereastra Save As asigurați-vă că:

    (i) meniul derulant Save As Type este setat la All files sau Registration Entries (*.reg) (sau similar, în funcție de browser)

    (ii) câmpul Nume fișier conține numele exact al fișierului de registru (de exemplu, DisableAutorun.reg)
  3. Faceți clic pe Save (Salvare). Confirmați orice solicitări de salvare a fișierului de registry.
  4. Faceți dublu clic pe fișierul salvat și confirmați adăugarea intrării în registru făcând clic pe Yes (Da). Faceți clic pe OK pentru a finaliza.
Avertisment

După importarea fișierului descărcat în registrul Windows, orice fișier Autorun.inf va fi ignorat de sistem. Deși acest lucru dezactivează complet funcționalitatea Autorun, funcția Autoplay va continua să apară, cu toate acestea, va exclude opțiunile Autorun.inf potențial periculoase. Trebuie să rețineți că aceste măsuri preventive de securitate nu eradichează potențialele infecții malware. Vă recomandăm prudență strictă atunci când deschideți/executați/clicați pe orice fișier necunoscut!

Important

Fișierul descărcat trebuie salvat ca extensie .reg pentru a funcționa corect. Dacă făcând dublu clic pe fișier nu se execută fereastra de dialog Registry Editor , faceți clic dreapta pe pictograma fișierului, selectați Properties (Proprietăți ) și editați numele fișierului în fila General pentru a vă asigura că ultimele patru șiruri ale numelui fișierului sunt .reg. Confirmați orice solicitări pentru a vă salva modificările.

NOTĂ

Vă recomandăm să citiți următorul articol pentru mai multe informații despre această soluție.

B2 - Cum să reactivați Autorun și Autoplay (Windows XP și Windows Vista)

Dacă trebuie să anulați modificările efectuate în urma instrucțiunilor din secțiunea B (de mai sus), faceți clic dreapta pe acest link pentru a descărca fișierul ReenableAutorun.reg și repetați instrucțiunile din secțiunea B (de mai sus), numai că de această dată utilizați fișierul ReenableAutorun.reg.

Important

Va trebui să reporniți computerul pentru ca modificările să intre în vigoare.

NOTĂ

În plus față de descărcarea și instalarea celor mai recente patch-uri de securitate, puteți lua și alte măsuri de precauție pentru a reduce riscul de infectare. Click aici pentru mai multe strategii de minimizare a riscului unui atac malware. Dacă sunteți administrator de rețea, faceți clic aici pentru a afla măsurile pe care le puteți lua pentru a minimiza restul unei infecții în rețeaua dumneavoastră.

Pași de curățare (o singură mașină)

Dacă întâlniți sau ați întâlnit malware-ul Win32/Conficker, o versiune complet actualizată a unui produs ESET (versiunea 3.0 sau ulterioară) va curăța infecția.
Important

Pentru a evita reinfectarea sistemului de operare, acesta trebuie să fie protejat în mod corespunzător utilizând toate linkurile din secțiunea A de mai sus.

  1. Deconectați computerul infectat de la rețea și de la internet.

  2. Utilizați un PC neinfectat pentru a descărca patch-urile Windows respective din secțiunea A de mai sus. Instalați toate patch-urile.

  3. Resetați parolele sistemului pentru conturile de administrator folosind parole mai sofisticate. Rețineți că infiltrarea se poate răspândi prin intermediul folderelor partajate.

    (i.) Apăsați CTRL+ALT+DELETE, apoi faceți clic pe Change password...

    (ii.) Introduceți parola veche, introduceți parola nouă, introduceți din nou parola nouă pentru a o confirma, apoi apăsați ENTER.

  4. Descărcați o aplicație unică ESET (din nou, utilizând un PC neinfectat) care va elimina viermele. Dacă nu aveți instalat un produs ESET (3.0 sau ulterior), puteți descărca (utilizând un PC neinfectat) și rula programul nostru gratuit de curățare autonom:

  5. Descărcați și instalați cea mai recentă versiune a software-ului ESET.

  6. Actualizați-vă baza de date cu semnături de viruși.

Pentru a verifica dacă programul autonom de curățare a eliminat amenințarea Conficker, rulați din nou programul autonom de curățare și apoi executați o scanare cu produsul ESET.

După rularea cu succes a curățătorului autonom ESET, vă recomandăm să citiți următorul articol Microsoft pentru informații despre patch-uri de securitate importante și modificări de grup recomandate:

NOTĂ

Dacă programul de curățare autonom ESET nu elimină complet amenințarea Conficker, articolul Microsoft de mai sus conține și instrucțiuni de eliminare manuală a Conficker.

Pentru protecție maximă împotriva amenințărilor viitoare, asigurați-vă că sistemul dvs. de operare este corectat în conformitate cu recomandările Microsoft și că produsul ESET este actualizat.

Important

Pentru a găsi informații suplimentare despre cum să vă protejați împotriva viermelui Conficker, consultați articolele noastre de pe blogul ESET.

Pași de curățare (rețea)

Utilizați NMap pentru a localiza mașinile infectate

Dacă suspectați că există o infecție cu Conficker pe computerele din rețea, puteți utiliza utilitarul gratuit NMap pentru a detecta clienții infectați folosind următoarele comenzi:

  • Pentru a vă scana rețeaua: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [rețele țintă]
  • Pentru o scanare mai rapidă: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [target networks]
  • Pentru o scanare detaliată: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [rețele țintă]
  1. Dacă nu doriți să descărcați toate actualizările Windows, dar doriți să vă asigurați că sunteți cel puțin protejat împotriva amenințărilor Win32/Conficker, descărcați și instalați patch-urile(KB958644, KB957097 și KB958687) din următoarele buletine de securitate Microsoft pe toate echipamentele din rețea:
    Patch-urile nu sunt necesare pentru Windows 7 și Server 2008

    Patch-urile de mai jos nu sunt necesare pentru Windows 7 sau Server 2008 r2, deoarece exploatarea utilizată de Conficker nu există pe aceste sisteme de operare. Cu toate acestea, Microsoft Windows Server 2008 necesită patch-urile de mai jos.



  2. Instalați și actualizați o soluție de securitate ESET pe toate echipamentele
  3. Schimbați toate parolele din rețea, deoarece Conficker va utiliza toate parolele pe care le-a înregistrat deja sau pe care le-a obținut prin forța brută.

  4. Rulați ESET Conficker Removal Tool pe fiecare computer:

  5. Eliminați toate sarcinile programate care au fost create de Win32/Conficker utilizând următoarea comandă pe clienți:

    at /delete /yes

Dacă pașii de mai sus nu rezolvă problema, resetați toate parolele și apoi efectuați următorii pași pentru a identifica care sunt mașinile care încă încearcă să răspândească infecția:

  1. Activați auditarea evenimentelor de conectare eșuate:

      1. Pe controlerele de domeniu, faceți clic pe StartInstrumente administrativePolitica de securitate a controlului de domeniu.

      1. Navigați la Security SettingsLocal PoliciesAudit PolicyAudit Logon Events.

      1. Asigurați-vă că Audit Logon Events este setat să înregistreze toate evenimentele de succes și eșec.

  2. Monitorizați jurnalul evenimentelor de securitate de pe controlerul (controlorii) de domeniu pentru ID-uri de eveniment 529 (dacă nu apar evenimente 529, atunci Win32/Conficker utilizează parole administrative corecte - parolele dvs. vor trebui, prin urmare, să fie schimbate).
  3. Atunci când vizualizați proprietățile evenimentului, veți vedea un "Nume stație de lucru". Acesta este vinovatul, sau unul dintre vinovați, care încearcă să infecteze alte computere.
  4. Mergeți la clientul (clienții) identificat(i) și repetați pașii 1-5 de mai sus.

După finalizarea pașilor de mai sus pentru pașii de curățare (rețea), toate parolele administrative trebuie schimbate din nou pentru a vă asigura că Conficker nu are niciuna dintre aceste parole. În cazul în care Conficker încă prezintă amenințări după ce toate echipamentele au fost patchuite, atunci fie mai există un echipament nepatchuit, fie ESET nu este instalat și actualizat pe un echipament.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Ultima actualizare: 19 mar. 2026

Resurse suplimentare

Ghiduri de utilizare

Forum ESET

Videoclipuri YouTube
ESET Status Portal ESET Technical Support

Client existent?