[KB2209] Conficker - Kendimi nasıl koruyabilirim?

NOT:

Bu sayfa bir bilgisayar tarafından çevrilmiştir. Orijinal metni görüntülemek için bu sayfadaki Diller altında İngilizce'ye tıklayın. Anlaşılmayan bir şey bulursanız, lütfen yerel destek biriminizle iletişime geçin.

Sorun

Win32/Conficker tehdidine maruz kalma riskiniz bir Microsoft işletim sistemi güvenlik açığından kaynaklanmaktadır (Microsoft bu güvenlik açığı için Ekim 2008'de bir yama yayınlamıştır). Microsoft işletim sistemi güvenlik açıklarının neden olduğu enfeksiyonlardan kaçınmaya yardımcı olmak için bilgisayarınızın (ve ağınızdaki tüm bilgisayarların) her zaman en son Microsoft Windows güncellemesiyle güncel olduğundan emin olun. En son güncellemeleri http://update.microsoft.com/ adresinde bulabilirsiniz.

Kendinizi Conficker'dan korumak için bu makaledeki adım adım talimatları izleyin. Veya belirli bir bölüme geçmek için aşağıdaki uygun bağlantıya tıklayın:

Çözüm

Enfeksiyonun Önlenmesi

A-Microsoft güvenlik yamalarını indirin
Tüm Windows güncellemelerini indirmek istemiyor ancak en azından Win32/Conficker tehditlerine karşı korunduğunuzdan emin olmak istiyorsanız, aşağıdaki Microsoft Güvenlik Bültenlerinde yer alan yamaları(KB958644, KB957097 ve KB958687) indirip yükleyin:
B - Otomatik Çalıştır ve Otomatik Oynat'ı Devre Dışı Bırak (Windows XP ve Windows Vista)

Kötü niyetli yazılım üreticilerinin bu güvenlik açıklarını kötüye kullanmasını önlemek için Windows sisteminizdeki Otomatik Çalıştırma ve Otomatik Oynatma özelliklerini devre dışı bırakmak isteyebilirsiniz. Bilgisayarınıza her bağladığınızda (varsayılan olarak) Autorun/Autoplay işlevleri tarafından erişilen USB sürücüler ve diğer çıkarılabilir ortamlar, bugünlerde en sık kullanılan virüs taşıyıcılarıdır.

Microsoft Windows Autorun ve Autoplay, ilk başta CD içeriğini otomatik olarak çalıştırmayı basitleştirmeyi amaçlayan özelliklerdir: (i) Autorun .inf dosyasını (ve içerdiği olası kötü amaçlı talimatları) çalıştırmak - Autorun güvenlik açığı (ii) mevcut eylemleri içeren bir açılır pencere açmak (bunlardan bazıları kötü amaçlı bir Autorun .inf dosyasından devralınan düşmanca tetikleyiciler olabilir) - Autoplay güvenlik açığı

Bazı terimler farklılık gösterebilir

Aşağıdaki adımlarda kullanılan bazı terimler tarayıcınıza bağlı olarak biraz farklılık gösterebilir.

  1. Otomatik Çalıştırma ve Otomatik Oynatmayı devre dışı bırakmak istiyorsanız, DisableAutorun.reg dosyasını indirmek için bu bağlantıya sağ tıklayın ve Bağlantıyı farklı kaydet...
  2. Farklı Kaydet penceresinde şunlardan emin olun:

    (i) Farklı Kaydet Türü açılır menüsünün Tüm dosyalar veya Kayıt Girişleri (*.reg) (veya tarayıcınıza bağlı olarak benzeri) olarak ayarlanmış olması

    (ii) Dosya Adı alanı kayıt dosyasının tam adını içerir (örn. DisableAutorun.reg)
  3. Kaydet'e tıklayın. Kayıt dosyasını kaydetmek için tüm istemleri onaylayın.
  4. Kaydedilen dosyaya çift tıklayın ve Evet'e tıklayarak kayıt defteri girdisini eklemeyi onaylayın. Bitirmek için Tamam 'a tıklayın.
Uyarı

İndirilen dosyayı Windows Kayıt Defterinize aktardıktan sonra, herhangi bir Autorun.inf dosyası sisteminiz tarafından göz ardı edilecektir. Bu Autorun işlevini tamamen devre dışı bırakırken, Otomatik Oynatma özelliği açılmaya devam edecek, ancak potansiyel olarak tehlikeli Autorun.inf seçeneklerini hariç tutacaktır. Bu önleyici güvenlik tedbirlerinin potansiyel kötü amaçlı yazılım bulaşmalarını ortadan kaldırmadığını unutmamalısınız. Bilinmeyen dosyaları açarken/çalıştırırken/tıklarken çok dikkatli olmanızı öneririz!

Önemli

İndirilen dosyanın düzgün çalışması için .reg uzantılı olarak kaydedilmesi gerekir. Dosyaya çift tıklamak Kayıt Defteri düzenleyicisi iletişim penceresini açmazsa, dosya simgesine sağ tıklayın, Özellikler 'i seçin ve dosya adının son dört dizesinin .reg olduğundan emin olmak için Genel sekmesinde dosya adını düzenleyin. Değişikliklerinizi kaydetmek için tüm istemleri onaylayın.

NOT

Bu çözüm hakkında daha fazla bilgi için aşağıdaki makaleyi okumanızı öneririz.

B2 - Otomatik Çalıştır ve Otomatik Oynat nasıl yeniden etkinleştirilir (Windows XP ve Windows Vista)

B (yukarıdaki) bölümündeki talimatları izleyerek yaptığınız değişiklikleri geri almanız gerekirse, ReenableAutorun.reg dosyasını indirmek için bu bağlantıya sağ tıklayın ve B (yukarıdaki) bölümündeki talimatları tekrarlayın, ancak bu kez ReenableAutorun.reg dosyasını kullanın.

Önemli

Değişikliklerin etkili olması için bilgisayarınızı yeniden başlatmanız gerekecektir.

NOT

En son güvenlik yamalarını indirip yüklemenin yanı sıra, bulaşma riskini azaltmak için başka önlemler de alabilirsiniz. Kötü amaçlı yazılım saldırısı riskini en aza indirmek için daha fazla strateji için buraya tıklayın. Bir ağ yöneticisiyseniz, ağınızdaki bir enfeksiyonun geri kalanını en aza indirmek için atabileceğiniz adımlar için buraya tıklayın.

Temizleme Adımları (Tek Makine)

Win32/Conficker kötü amaçlı yazılımıyla karşılaşırsanız veya karşılaştıysanız, bir ESET ürününün tamamen güncellenmiş bir sürümü (sürüm 3.0 veya üstü) bulaşmayı temizleyecektir.
Önemli

İşletim sisteminin yeniden enfekte olmasını önlemek için, yukarıdaki A bölümündeki tüm bağlantılar kullanılarak düzgün bir şekilde yamalanmalıdır.

  1. Virüs bulaşmış bilgisayarın ağ ve internet bağlantısını kesin.

  2. Yukarıdaki A bölümünden ilgili Windows yamalarını indirmek için virüs bulaşmamış bir bilgisayar kullanın. Tüm yamaları yükleyin.

  3. Daha gelişmiş olanları kullanarak sistem parolalarınızı yönetici hesaplarına sıfırlayın. Sızmanın paylaşılan klasörler aracılığıyla yayılabileceğini unutmayın.

    (i.) CTRL+ALT+DELETE tuşlarına basın ve ardından Şifre değiştir... seçeneğine tıklayın.

    (ii.) Eski parolanızı yazın, yeni parolanızı yazın, onaylamak için yeni parolanızı tekrar yazın ve ardından ENTER tuşuna basın.

  4. Solucanı kaldıracak tek seferlik bir ESET uygulaması indirin (yine virüs bulaşmamış bir bilgisayar kullanarak). Yüklü bir ESET ürününüz (3.0 veya üstü) yoksa, ücretsiz tek başına temizleyicimizi indirebilir (virüs bulaşmamış bir bilgisayar kullanarak) ve çalıştırabilirsiniz:

  5. ESET yazılımınızın en son sürümünüindirin ve yükleyin.

  6. Virüs imza veritabanınızı güncelleyin.

Bağımsız temizleyicinin Conficker tehdidini kaldırdığını doğrulamak için bağımsız temizleyiciyi yeniden çalıştırın ve ardından ESET ürününüzle bir tarama gerçekleştirin.

ESET bağımsız temizleyiciyi başarıyla çalıştırdıktan sonra, önemli güvenlik yamaları ve önerilen grup değişiklikleri hakkında bilgi için aşağıdaki Microsoft makalesini okumanızı öneririz:

NOT

ESET bağımsız temizleyici Conficker tehdidini tam olarak kaldırmazsa, yukarıdaki Microsoft makalesi manuel Conficker kaldırma talimatlarını da içerir.

Gelecekteki tehditlere karşı maksimum koruma için işletim sisteminizin Microsoft'un önerilerine göre yamalandığından ve ESET ürününüzün güncel olduğundan emin olun.

Önemli

Conficker solucanına karşı kendinizi koruma hakkında daha fazla bilgi edinmek için lütfen ESET blog girdilerimize bakın.

Temizlik Adımları (Ağ)

Virüs bulaşmış makineleri bulmak için NMap kullanın

Ağınızdaki bilgisayarlarda bir Conficker bulaşması olduğundan şüpheleniyorsanız, aşağıdaki komutları kullanarak bulaşmış istemcileri tespit etmek için ücretsiz yardımcı program NMap 'i kullanabilirsiniz:

  • Ağınızı taramak için: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [target networks]
  • Daha hızlı bir tarama için: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [target networks]
  • Derinlemesine bir tarama için: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [hedef ağlar]
  1. Tüm Windows güncellemelerini indirmek istemiyor, ancak en azından Win32/Conficker tehditlerine karşı korunduğunuzdan emin olmak istiyorsanız, aşağıdaki Microsoft Güvenlik Bültenlerinde yer alan yamaları(KB958644, KB957097 ve KB958687) indirin ve ağınızdaki tüm makinelere yükleyin:
    Windows 7 ve Server 2008 için yamalar gerekli değildir

    Conficker tarafından kullanılan açık bu işletim sistemlerinde mevcut olmadığından, aşağıdaki yamalar Windows 7 veya Server 2008 r2 için gerekli değildir. Ancak, Microsoft Windows Server 2008 aşağıdaki yamaları gerektirmektedir.



  2. Tüm makinelere bir ESET güvenlik çözümü yükleyin ve güncelleyin
  3. Conficker daha önce kaydettiği veya kaba kuvvetle elde ettiği parolaları kullanacağından ağdaki tüm parolaları değiştirin.

  4. Her makinede ESET Conficker Kaldırma Aracı 'nı çalıştırın:

  5. İstemcilerde aşağıdaki komutu kullanarak Win32/Conficker tarafından oluşturulan tüm zamanlanmış görevleri kaldırın:

    at /delete /yes

Yukarıdaki adımlar sorunu çözmezse, tüm parolaları sıfırlayın ve ardından hangi makinelerin hala bulaşmayı yaymaya çalıştığını belirlemek için aşağıdaki adımları uygulayın:

  1. Başarısız Oturum Açma Olaylarının denetimini açın:

      1. Etki Alanı Denetleyicilerinizde, BaşlatYönetimsel Araçlar → Etki Alanı Denetimi Güvenlik İlkesi'ne tıklayın.

      1. Güvenlik AyarlarıYerel İlkelerDenetim İlkesi → Oturum Açma Olaylarını Denetle'ye gidin.

      1. Denetim Oturum Açma Olayları'nın tüm Başarı ve Başarısızlık olaylarını kaydedecek şekilde ayarlandığından emin olun.

  2. Etki Alanı Denetleyicilerinizdeki Güvenlik Olayı günlüğünü 529 Olay Kimlikleri için izleyin (529 olay meydana gelmiyorsa, Win32/Conficker doğru yönetici parolalarını kullanıyor demektir - bu nedenle parolalarınızın değiştirilmesi gerekecektir).
  3. Olayın özelliklerini görüntülerken, bir "İş İstasyonu Adı" göreceksiniz. Bu, diğer bilgisayarlara bulaşmaya çalışan suçlu ya da suçlulardan biridir.
  4. Tanımlanan istemci(ler)e gidin ve yukarıdaki 1-5 adımlarını tekrarlayın.

Temizleme Adımları (Ağ) için yukarıdaki adımları tamamladıktan sonra, Conficker'ın bu parolalardan herhangi birine sahip olmadığından emin olmak için tüm Yönetici parolaları tekrar değiştirilmelidir. Tüm makineler yamalandıktan sonra Conficker hala tehdit gösteriyorsa, ya hala yamalanmamış bir makine kalmıştır ya da ESET bir makineye yüklenmemiş ve güncellenmemiştir.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Son Revize: 19 Ara 2025

Ek Kaynaklar:

Kullanıcı kılavuzu

ESET kullanıcı forumu

Bilgi Bankası Videoları
ESET Status Portal ESET Technical Support

Mevcut müşteri mi?