[KB2209] Conficker - ako pred ním ochrániť počítač?

Problém

Infiltrácia Win32/Conficker je nebezpečná najmä pre používateľov, ktorí nemajú aktualizovaný operačný systém Windows (Microsoft zverejnil opravný balík - patch v Októbri 2008). Jedným zo základných pravidiel, ako zabrániť infikovaniu systému vírusmi využívajúcimi jeho vlastné zraniteľnosti, je udržiavať operačný systém počítača aktualizovaný pomocou služby Windows Update od spoločnosti Microsoft. Najnovšie aktualizácie nájdete na http://update.microsoft.com/.

Postupujte podľa krokov uvedených nižšie, alebo kliknite na príslušný odkaz na presun na konkrétnu sekciu v tomto článku:

Riešenie

Prevencia proti zavíreniu

A - Stiahnite si opravné balíky - patche firmy Microsoft

Ak si nechcete sťahovať všetky aktualizácie systému Windows, ale potrebujete mať istotu, že váš počítač je chránený pred hrozbou, ktorú Win32/Conficker predstavuje, stiahnite si nasledujúce opravné balíky (KB95864, KB957097 a KB958687) podľa typu vášho operačného systému zo zoznamov, ako sú uvedené v týchto bulletinoch o bezpečnosti od Microsoftu:

B - Vypnite Autorun a Autoplay (používatelia Windows XP a Windows Vista)
Ak chcete minimalizovať riziko infekcie vášho počítača škodlivým softvérom, odporúčame vám v systéme Windows vypnúť funkcionality Autorun a Autoplay. USB disky a iné výmenné médiá, na ktoré pristupujú spomínané funkcionality automaticky (štandardné nastavenie Windows) pri každom pripojení týchto médií do počítača, sú najčastejšími nositeľmi vírusov a iného škodlivého softvéru v súčasnosti. Microsoft Windows Autorun/Autoplay boli pôvodne určené na zjednodušenie prehrávania obsahu z CD diskov, tým že automaticky:
(i) spustia súbor Autorun.inf na médiu (a s ním aj akékoľvek škodlivé inštrukcie, ktoré môže obsahovať) - v čom spočíva jadro zraniteľnosti funkcionality Autorun
(ii) otvorením vyskakovacieho okna s ponukou akcií (z ktorých mnohé môžu byť zdanlivo neškodnými spúšťačmi nebezpečných inštrukcií prebratých práve z napadnutého súboru Autorun.inf) - zraniteľnosť funkcionality Autoplay

Poznámka:

Niektoré pojmy použité v tomto postupe sa môžu mierne líšiť v závislosti od toho, aký internetový prehliadač používate.

  1. Ak si želáte vypnúť funkcionality Autorun a Autoplay pravým kliknutím na tento odkaz vyvoláte okno, ktoré vám ponúkne na uloženie súbor DisableAutorun.reg, a v ktorom je potrebné kliknúť na tlačidlo Uložiť odkaz ako...
  2. V okne Uložiť ako sa ubezpečte, že:

    (i) v roletovom menu Uložiť ako typ súboru je nastavená možnosť Všetky súbory alebo Záznamy registry (*.reg) (prípadne ich ekvivalent, podľa toho aký prehliadač používate)

    (ii) pole Názov súboru obsahuje presný názov súboru so záznamom registrov, t.j. DisableAutorun.reg
  3. Kliknite na Uložiť. Potvrďte súhlasne všetky výzvy na potvrdenie uloženia súboru.
  4. Dvojitým kliknutím na uložený súbor a následným potvrdením výzvy (stlačením tlačidla Áno) pridáte nový záznam zo súboru do registrov Windows.

Pozor:

Po úspešnom importe nastavení zo súboru do Windows Registry bude váš systém ignorovať všetky súbory Autorun.inf. Deaktivácia funkcionality Autorun však nezabráni zobrazovaniu funkcionality Autoplay, no v takomto prípade okno Autoplay už viac nebude obsahovať potenciálne nebezpečné možnosti zo súboru Autorun.inf. Ak sa chcete úspešne vyhýbať vírusom, nesmiete opomenúť skutočnosť, že takéto preventívne opatrenia potenciálne nebezpečný softvér neodstraňujú. Odporúčame vám dodržiavať prísnu ostražitosť pri klikaní na/otváraní/spúšťaní/atď. akýchkoľvek neznámych súborov!!

Dôležité:

Pri ukladaní súboru je dôležité aby sa uložil s príponou .reg. Ak sa pri dvojitom kliknutí na uložený súbor nezobrazí dialógové okno Editor registrov, kliknite na súbor pravým tlačidlom myši, vyberte z kontextového menu možnosť Vlastnosti a upravte názov súboru na karte Všeobecné tak, aby posledné štyri písmená v názve boli .reg (vrátane bodky na začiatku). Potvrďte súhlasne akékoľvek výzvy na premenovanie súboru, aby ste uložili toto nastavenie a zopakujte bod 4 z postupu (hore).

Poznámka:

Ak hľadáte viac informácií o tomto riešení, odporúčame vám prečítať si tento článok (dostupný v angličtine).

B2 - Ako znovu zapnúť Autorun a Autoplay (Windows XP a Windows Vista)

V prípade, že potrebujete vrátiť späť zmeny, ktoré ste vykonali sledovaním postupu v sekcii B (hore), kliknite pravým tlačidlom na tento odkaz, stiahnite si z neho súbor ReenableAutorun.reg, a zopakujte všetky inštrukcie zo sekcie B, ale tentoraz vo všetkých použite súbor ReenableAutorun.reg.

Dôležité:

Na uvedenie zmien do prevádzky je potrebné reštartovať počítač.

Poznámka:

Okrem už uvedených stratégií prevencie pred nebezpečným softvérom vám odporúčame prečítať si ešte článok
Čo mám spraviť, ak chcem minimalizovať riziko vírusového útoku?

a sieťovým administrátorom aj
Čo môžem spraviť pre minimalizovanie rizika zavírenia počítačovej siete?

Postup na odstránenie (Samostatný počítač)

Ak je váš počítač už napadnutý infiltráciou Win32/Conficker, plne aktualizovaná verzia produktu ESET (verzia 3.0 a vyššia) túto infekciu odstráni.

Dôležité:

Pre zabránenie opätovnej nákaze operačného systému musia byť nainštalované aktualizácie uvedené v sekcii A.

  1. Odpojte napadnutý počítač z počítačovej siete a z Internetu.
  2. Použite iný, nezavírený počítač na stiahnutie opravných balíkov (patch) z bulletinov Microsoft, tak ako je uvedené v sekcii A hore. Všetky stiahnuté balíky (patche) nainštalujte.
  3. Zmeňte vaše systémové heslá všetkých administrátorských účtov (nahraďte ich zložitejšími heslami). Nebezpečné aplikácie sa môžu šíriť aj cez zdieľané adresáre.

    (i) Stlačte kombináciu kláves CTRL + ALT + DELETE a kliknite na Zmeniť heslo...

    (ii) Napíšte vaše staré heslo, potom vaše nové heslo a nakoniec opakovane zadajte nové heslo kvôli overeniu a stlačte ENTER.
  4. Stiahnite si jeden z produktov ESET (znovu na to použite nezavírený počítač), ktorým červ Conficker odstránite. Ak nemáte produkt ESET (verzie 3.0 a vyššie), môžete si stiahnuť (cez nezavírený počítač) náš samostatný nástroj na odstránenie tohto červa:
    http://download.eset.com/special/ESETConfickerCleaner.exe
  5. Stiahnite si a nainštalujte najnovšiu verziu vášho programu ESET.
  6. Aktualizujte si vírusovú databázu v programe

Ubezpečte sa, že odstránenie infiltrácie Conficker prebehlo úspešne tak, že znovu spustíte samostatný nástroj na odstránenie červa a následne urobte aj kontrolu počítača s produktom ESET.

Po úspešnom odstránení infiltrácie vám odporúčame prečítať si tento článok obsahujúci informácie o dôležitých bezpečnostných záplatách a odporúčaniach. V prípade, že nástroj nedokázal úplne odstrániť infiltráciu Conficker z počítača, nájdete v tom istom článku aj návod na jej manuálne odstránenie:

Poznámka:

Ak samostatný nástroj na odstránenie od ESETu nie úplne odstránil hrozbu Conficker, vyššie uvedený článok od Microsoftu tiež obsahuje manuálne inštrukcie na odstránenie hrozby Conficker.

Pre zabezpečenie čo najvyššej ochrany pred budúcimi hrozbami sa prosím ubezpečte, že na operačnom systéme sú nainštalované opravné balíky - patche podľa odporúčaní spoločnosti Microsoft a súčasne udržujte váš produkt ESET stále aktualizovaný.

Dôležité:

Ďalšie informácie o ochrane pred červom Conficker nájdete v našom ESET blogovom článku.

Postup na odstránenie (Sieť)

  1. Ak si neželáte sťahovať všetky aktualizácie systému Windows, ale chcete mať istotu, že ste chránený proti Win32/Conficker, stiahnite si a nainštalujte tieto záplaty KB958644, KB957097 a KB958687. Stiahnete ich v nasledujúcom bulletinoch zabezpečenia spoločnosti Microsoft a potom ich nainštalujte na všetky počítače v sieti:

    Poznámka:

    Opravy uvedené nižšie nie sú nutné pre operačný systém Windows 7 a Windows Server 2008 R2, pretože exploit použitý Confickerom neexistuje v týchto operačných systémoch. Avšak, Windows Server 2008 si vyžaduje nižšie uvedené opravy.

  2. Nainštalujte a aktualizujte váš bezpečnostný produkt ESET na všetky počítače:
  3. Zmeňte všetky heslá v sieti, pretože Conficker bude používať všetky heslá, pod ktorými sa už prihlásil alebo odhalil pomocou metódy "brute force".
  4. Spustite na každom počítači nástroj ESET Conficker Removal Tool:
  5. Odstráňte všetky naplánované úlohy, ktoré Win32/Conficker vytvoril. Spustite nasledujúci príkaz na počítačoch v sieti:

    at /delete /yes

Ak vyššie uvedené kroky problém nevyriešili, resetnite všetky heslá a potom vykonajte nasledujúce kroky, aby ste zistili, ktoré počítače sa stále pokúšajú šíriť infiltráciu Conficker:

  1. Zapnite auditovanie neúspešných pokusov o prihlásenie:
    1. V Domain Controller(s) kliknite na Start Administrative Tools Domain Control Security Policy.
    2. Kliknite na Security Settings Local PoliciesAudit Policy Audit Logon Events.
    3. Usitite sa, že všetky pokusy o prihlásenie (Audit Logon Events) sú nastavené na monitorovanie všetkých úspešných a neúspešných prihlásení (Success and Failure events).
  2. Monitorujte denník udalostí zabezpečenia (Security Event log) na radiči/radičoch domény (Domain Controller) pre udalosti s ID 529 (pokiaľ neexistujú tieto udalosti, potom Win32/Conficker používa správne administrátorské heslá - vaše heslá preto budú musieť byť zmenené).
  3. Pri zobrazení vlastností konkrétnej udalosti uvidíte "Názov pracovnej stanice". To je vinník, alebo jeden z vinníkov, ktorý sa snaží infikovať ďalšie počítače.
  4. Prejdite na infikovaných klienta(ov) a opakujte vyššie uvedené kroky 1-5.

Po dokončení krokov uvedených vyššie v časti Postup na odstránenie (Sieť) by bolo potrebné opäť zmeniť aj všetky administrátorské heslá. Conficker tým pádom nebude môcť použiť žiadne z týchto hesiel. Ak Conficker stále ukazuje hrozby po tom, čo všetky počítače boli opravené, potom je buď jeden počítač ešte neopravený, alebo tam nie je ESET nainštalovaný a aktualizovaný.