[KB2209] Conficker - как защитить себя?

примечание:

Этот документ переведен для вашего удобства с помощью машинного перевода. Пожалуйста, будьте уверены, что мы приложили все усилия, чтобы обеспечить максимально точный перевод. Однако ни один автоматизированный перевод не призван заменить переводчика-человека. Официальным текстом является английская версия, которую можно найти, нажав на English справа от этого текста (или внизу, если вы читаете с мобильного). Если у вас возникли вопросы или замечания относительно точности переведенного текста, пожалуйста, обратитесь к официальной версии на английском языке или свяжитесь с местной службой поддержки. Спасибо за ваше терпение.

Выпуск

Риск заражения угрозой Win32/Conficker связан с уязвимостью операционной системы Microsoft (Microsoft выпустила патч для этой уязвимости в октябре 2008 года). Чтобы избежать заражения, вызванного уязвимостью операционной системы Microsoft, убедитесь, что на вашем компьютере (и на всех компьютерах в вашей сети) всегда установлено последнее обновление Microsoft Windows. Последние обновления можно найти на сайте http://update.microsoft.com/.

Чтобы защитить себя от Conficker, следуйте пошаговым инструкциям в этой статье. Или щелкните соответствующую ссылку ниже, чтобы перейти к определенному разделу:

Решение

Предотвращение заражения

A-Загрузка исправлений безопасности Microsoft
Если вы не хотите загружать все обновления Windows, но хотите обеспечить защиту от угроз Win32/Conficker, загрузите и установите исправления(KB958644, KB957097 и KB958687) из следующих бюллетеней безопасности Microsoft:
B - Отключите автозапуск и автовоспроизведение (Windows XP и Windows Vista)

Вы можете отключить функции Autorun и Autoplay в своей системе Windows, чтобы предотвратить использование этих недостатков безопасности производителями вредоносных программ. USB-накопители и другие съемные носители, к которым функции Autorun/Autoplay обращаются каждый раз (по умолчанию), когда вы подключаете их к компьютеру, являются наиболее часто используемыми носителями вирусов в наши дни.

Autorun и Autoplay в Microsoft Windows - это функции, которые изначально предназначались для упрощения запуска содержимого компакт-дисков путем автоматического:(i) выполнения файла Autorun.inf (и всех возможных вредоносных инструкций, которые он содержит) - уязвимость Autorun(ii) открытия всплывающего окна с доступными действиями (некоторые из которых могут быть враждебными триггерами, заимствованными из вредоносного Autorun.inf) - уязвимость Autoplay

Некоторые термины могут отличаться

Некоторые термины, используемые в описанных ниже шагах, могут немного отличаться в зависимости от браузера.

  1. Если вы хотите отключить автозапуск и автовоспроизведение, щелкните правой кнопкой мыши по этой ссылке, чтобы загрузить файл DisableAutorun.reg, и выберите Сохранить ссылку как...
  2. В окне Сохранить как убедитесь, что:

    (i) в раскрывающемся меню Тип сохранения выбрано значение Все файлы или Регистрационные записи (*.reg) (или аналогичное, в зависимости от браузера)

    (ii) в поле Имя файла было указано точное имя файла реестра (например, DisableAutorun.reg)
  3. Нажмите кнопку Сохранить. Подтвердите все запросы на сохранение файла реестра.
  4. Дважды щелкните сохраненный файл и подтвердите добавление записи в реестр, нажав Да. Нажмите OK, чтобы завершить работу.
Предупреждение

После импорта загруженного файла в реестр Windows любой файл Autorun.inf будет игнорироваться системой. Хотя это полностью отключает функцию Autorun, функция Autoplay будет продолжать появляться, однако она будет исключать потенциально опасные опции Autorun.inf. Следует помнить, что эти превентивные меры безопасности не избавляют от потенциальных вредоносных программ. Мы рекомендуем соблюдать строгую осторожность при открытии/исполнении/нажатии на любые неизвестные файлы!

Важно

Для корректной работы скачанный файл должен быть сохранен с расширением .reg. Если двойной щелчок по файлу не вызывает диалоговое окно редактора реестра , щелкните правой кнопкой мыши по значку файла, выберите "Свойства" и измените имя файла на вкладке " Общие", чтобы последние четыре строки имени файла были .reg. Подтвердите все подсказки, чтобы сохранить изменения.

ПРИМЕЧАНИЕ

Мы рекомендуем прочитать следующую статью для получения дополнительной информации об этом решении.

B2 - Как повторно включить автозапуск и автовоспроизведение (Windows XP и Windows Vista)

Если вам нужно отменить изменения, сделанные в соответствии с инструкциями раздела B (выше), щелкните правой кнопкой мыши по этой ссылке, чтобы загрузить файл ReenableAutorun.reg, и повторите инструкции из раздела B (выше), только на этот раз используйте файл ReenableAutorun.reg.

Важно

Чтобы изменения вступили в силу, необходимо перезагрузить компьютер.

ПРИМЕЧАНИЕ

Помимо загрузки и установки последних исправлений безопасности, вы можете принять другие меры предосторожности, чтобы снизить риск заражения. Нажмите здесь, чтобы узнать больше стратегий по минимизации риска атаки вредоносного ПО. Если вы являетесь администратором сети, Нажмите здесь, чтобы узнать, какие шаги вы можете предпринять, чтобы минимизировать риск заражения в вашей сети.

Шаги по очистке (одиночная машина)

Если вы столкнулись или уже столкнулись с вредоносной программой Win32/Conficker, полностью обновленная версия продукта ESET (версия 3.0 или более поздняя) очистит заражение.
Важно

Чтобы избежать повторного заражения операционной системы, ее необходимо правильно пропатчить, используя все ссылки из раздела A выше.

  1. Отключите зараженный компьютер от сети и интернета.

  2. С незараженного компьютера загрузите соответствующие исправления для Windows из раздела A выше. Установите все исправления.

  3. Сбросьте системные пароли к учетным записям администраторов, используя более сложные пароли. Обратите внимание, что заражение может распространяться через общие папки.

    (i.) Нажмите CTRL+ALT+DELETE, а затем щелкните Изменить пароль....

    (ii.) Введите старый пароль, введите новый пароль, введите новый пароль еще раз, чтобы подтвердить его, а затем нажмите ENTER.

  4. Загрузите одноразовое приложение ESET (опять же, используя незараженный ПК), которое удалит червя. Если у вас не установлен продукт ESET (3.0 или более поздней версии), вы можете загрузить (используя незараженный ПК) и запустить наш бесплатный автономный очиститель:

  5. Загрузите и установите последнюю версию программного обеспечения ESET.

  6. Обновление базы данных вирусных сигнатур.

Чтобы убедиться, что автономный очиститель удалил угрозу Conficker, повторно запустите автономный очиститель, а затем выполните сканирование с помощью продукта ESET.

После успешного запуска автономного очистителя ESET мы рекомендуем вам прочитать следующую статью Microsoft, чтобы узнать о важных исправлениях безопасности и рекомендуемых изменениях в группах:

ПРИМЕЧАНИЕ

Если автономный очиститель ESET не полностью удаляет угрозу Conficker, в приведенной выше статье Microsoft также содержатся инструкции по удалению Conficker вручную.

Для максимальной защиты от будущих угроз убедитесь, что ваша операционная система исправлена в соответствии с рекомендациями Microsoft и что ваш продукт ESET обновлен.

Важно

Дополнительную информацию о защите от червя Conficker можно найти в нашем блоге ESET.

Шаги по очистке (сеть)

Используйте NMap для поиска зараженных машин

Если вы подозреваете, что на компьютерах в вашей сети присутствует заражение Conficker, вы можете использовать бесплатную утилиту NMap для обнаружения зараженных клиентов с помощью следующих команд:

  • Для сканирования сети: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [целевые сети]
  • Для более быстрого сканирования: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [целевые сети]
  • Для углубленного сканирования: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [целевые сети]
  1. Если вы не хотите загружать все обновления Windows, но хотите быть уверенными, что вы, по крайней мере, защищены от угроз Win32/Conficker, загрузите и установите исправления(KB958644, KB957097 и KB958687) из следующих бюллетеней безопасности Microsoft на все машины в вашей сети:
    Патчи не требуются для Windows 7 и Server 2008

    Приведенные ниже исправления не требуются для Windows 7 или Server 2008 r2, поскольку эксплойт, используемый Conficker, не существует в этих операционных системах. Однако для Microsoft Windows Server 2008 требуются указанные ниже исправления.



  2. Установите и обновите решение безопасности ESET на всех машинах
  3. Измените все пароли в сети, поскольку Conficker будет использовать все пароли, которые он уже записал или получил методом грубой силы.

  4. Запустите программу ESET Conficker Removal Tool на каждой машине:

  5. Удалите все запланированные задачи, созданные Win32/Conficker, с помощью следующей команды на клиентах:

    at /delete /yes

Если описанные выше действия не помогли решить проблему, сбросьте все пароли, а затем выполните следующие действия, чтобы определить, какие машины все еще пытаются распространить инфекцию:

  1. Включите аудит неудачных событий входа в систему:

      1. На контроллерах домена нажмите ПускСредства администрированияПолитика безопасности управления доменом.

      1. Перейдите в раздел Параметры безопасностиЛокальные политикиПолитика аудитаАудит событий входа в систему.

      1. Убедитесь, что для параметра Audit Logon Events установлена запись всех событий Success и Failure.

  2. Просмотрите журнал событий безопасности на контроллере домена на предмет наличия идентификаторов событий 529 (если событий 529 не происходит, значит, Win32/Conficker использует правильные административные пароли - поэтому ваши пароли необходимо изменить).
  3. При просмотре свойств события вы увидите "Имя рабочей станции". Это виновник или один из виновников, который пытается заразить другие компьютеры.
  4. Перейдите к выявленному клиенту (клиентам) и повторите шаги 1-5 выше.

После выполнения описанных выше шагов по очистке (Сеть) следует снова изменить все административные пароли, чтобы убедиться, что у Conficker нет ни одного из этих паролей. Если после исправления всех машин Conficker все еще показывает угрозы, значит, либо осталась непропатченная машина, либо на ней не установлен и не обновлен ESET.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Last Updated: 25 февр. 2026 г.

Дополнительные ресурсы

Документация

Форум пользователей

Видео
ESET Status Portal ESET Technical Support

Существующий клиент?