[KB2209] Conficker - Як мені захистити себе?

ПРИМІТКА:

Ця сторінка перекладена за допомогою комп'ютера. Клацніть англійську мову в розділі Мови на цій сторінці, щоб переглянути оригінальний текст. Якщо вам щось незрозуміло, зверніться до місцевої служби підтримки.

Проблема

Ризик зараження загрозою Win32/Conficker пов'язаний з уразливістю операційної системи Microsoft (Microsoft випустила патч для цієї вразливості в жовтні 2008 року). Щоб уникнути зараження, спричиненого вразливістю операційної системи Microsoft, переконайтеся, що на вашому комп'ютері (і на всіх комп'ютерах у вашій мережі) завжди встановлені останні оновлення Microsoft Windows. Останні оновлення можна знайти на сайті http://update.microsoft.com/.

Щоб захиститися від Conficker, дотримуйтесь покрокових інструкцій у цій статті. Або натисніть відповідне посилання нижче, щоб перейти до певного розділу:

Рішення

Запобігання зараженню

A-Викачування виправлень безпеки Microsoft
Якщо ви не бажаєте завантажувати всі оновлення Windows, але хочете бути принаймні захищеними від загроз Win32/Conficker, завантажте та встановіть патчі(KB958644, KB957097 та KB958687) з наступних бюлетенів безпеки Microsoft:
B - Вимкнення автозапуску та автовідтворення (Windows XP та Windows Vista)

Можливо, ви захочете вимкнути функції автозапуску та автовідтворення у вашій системі Windows, щоб запобігти використанню цих вразливостей зловмисниками. USB-накопичувачі та інші знімні носії, до яких функції автозапуску та автовідтворення звертаються щоразу (за замовчуванням), коли ви підключаєте їх до комп'ютера, є найпоширенішими носіями вірусів у наш час.

Функції автозапуску та автоматичного відтворення Microsoft Windows спочатку були призначені для спрощення запуску вмісту компакт-дисків шляхом автоматичного:(i) виконання файлу Autorun.inf (та будь-яких можливих шкідливих інструкцій, які він містить) - уразливість Autorun(ii) відкриття спливаючого вікна з доступними діями (деякі з яких можуть бути шкідливими тригерами, перейнятими від шкідливого Autorun.inf) - уразливість Autoplay

Деякі терміни можуть відрізнятися

Деякі терміни, що використовуються в наведених нижче кроках, можуть дещо відрізнятися в залежності від вашого браузера.

  1. Якщо ви хочете вимкнути автозапуск та автовідтворення, клацніть правою кнопкою миші на цьому посиланні, щоб завантажити файл DisableAutorun.reg і виберіть Зберегти посилання як...
  2. У вікні Зберегти як переконайтеся, що

    (i) у випадаючому меню Тип збереження встановлено значення Усі файли або Реєстраційні записи (*.reg ) (або аналогічне, залежно від вашого браузера)

    (ii) поле Ім'я файлу містить точну назву файлу реєстру (наприклад, DisableAutorun.reg)
  3. Натисніть кнопку Зберегти. Підтвердьте всі запити на збереження файлу реєстру.
  4. Двічі клацніть збережений файл і підтвердіть додавання запису до реєстру, натиснувши Так. Натисніть OK, щоб завершити.
Попередження

Після імпортування завантаженого файлу до реєстру Windows будь-який файл Autorun.inf буде ігноруватися системою. Хоча це повністю вимкне функцію автозапуску, функція автозапуску продовжуватиме з'являтися, проте вона виключить потенційно небезпечні параметри Autorun.inf. Ви повинні пам'ятати, що ці превентивні заходи безпеки не усувають потенційне зараження шкідливим програмним забезпеченням. Ми рекомендуємо бути дуже обережними, відкриваючи/виконуючи/клацаючи будь-які невідомі файли!

Важливо

Для правильної роботи завантажений файл повинен бути збережений з розширенням .reg. Якщо подвійне клацання на файлі не запускає діалогове вікно редактора реєстру , клацніть правою кнопкою миші на іконці файлу, виберіть Властивості та відредагуйте ім'я файлу на вкладці Загальні, щоб останні чотири рядки імені файлу були .reg. Підтвердьте будь-які запити, щоб зберегти зміни.

ПРИМІТКА

Ми рекомендуємо прочитати наступну статтю для отримання додаткової інформації про це рішення.

B2 - Як увімкнути автозапуск і автоматичне відтворення (Windows XP і Windows Vista)

Якщо вам потрібно скасувати зміни, які ви зробили, дотримуючись інструкцій у розділі B (вище), клацніть правою кнопкою миші на цьому посиланні, щоб завантажити файл ReenableAutorun.reg, і повторіть інструкції з розділу B (вище), тільки цього разу використовуйте файл ReenableAutorun . reg.

Важливо

Щоб зміни набули чинності, потрібно перезавантажити комп'ютер.

ПРИМІТКА

Окрім завантаження та встановлення найновіших патчів безпеки, ви можете вжити інших запобіжних заходів, щоб зменшити ризик зараження. Натисніть тут, щоб дізнатися більше про стратегії мінімізації ризику атаки шкідливого програмного забезпечення. Якщо ви мережевий адміністратор, натисніть тут, щоб дізнатися про кроки, які ви можете зробити, щоб мінімізувати залишки інфекції у вашій мережі.

Кроки очищення (для одного комп'ютера)

Якщо ви стикаєтеся або стикалися зі шкідливим програмним забезпеченням Win32/Conficker, повністю оновлена версія продукту ESET (версія 3.0 або новіша) допоможе видалити інфекцію.
Важливо

Щоб уникнути повторного зараження операційної системи, її необхідно належним чином виправити, використовуючи всі посилання з розділу A вище.

  1. Відключіть заражений комп'ютер від мережі та інтернету.

  2. Завантажте з незараженого комп'ютера відповідні патчі для Windows з розділу A вище. Встановіть усі патчі.

  3. Змініть системні паролі до облікових записів адміністратора, використовуючи більш складні паролі. Зверніть увагу, що зараження може поширюватися через спільні папки.

    (i.) Натисніть комбінацію клавіш CTRL+ALT+DELETE, а потім виберіть пункт Змінити пароль...

    (ii.) Введіть старий пароль, введіть новий пароль, введіть новий пароль ще раз, щоб підтвердити його, а потім натисніть ENTER.

  4. Завантажте одноразову програму ESET (знову ж таки, використовуючи незаражений комп'ютер), яка видалить хробака. Якщо у вас не встановлено продукт ESET (3.0 або новішої версії), ви можете завантажити (на незараженому ПК) і запустити наш безкоштовний автономний очищувач:

  5. Завантажте та інсталюйте останню версію програмного забезпечення ESET.

  6. Оновлення бази даних вірусних сигнатур.

Щоб переконатися, що автономний очищувач видалив загрозу Conficker, перезапустіть автономний очищувач, а потім запустіть сканування за допомогою продукту ESET.

Після успішного запуску автономного засобу очищення ESET рекомендуємо ознайомитися з наступною статтею корпорації Майкрософт для отримання інформації про важливі виправлення безпеки та рекомендовані групові зміни:

ПРИМІТКА

Якщо автономний очищувач ESET не повністю видаляє загрозу Conficker, у наведеній вище статті Microsoft також містяться інструкції з видалення Conficker вручну.

Для максимального захисту від майбутніх загроз переконайтеся, що ваша операційна система оновлена відповідно до рекомендацій корпорації Майкрософт і що ваш продукт ESET має найновіші версії.

Важливо

Щоб знайти додаткову інформацію про захист від хробака Conficker, перегляньте записи в нашому блозі ESET.

Етапи очищення (мережа)

Використовуйте NMap для пошуку заражених комп'ютерів

Якщо ви підозрюєте, що комп'ютери у вашій мережі заражені Conficker, ви можете скористатися безкоштовною утилітою NMap для виявлення заражених клієнтів за допомогою наступних команд:

  • Для сканування мережі: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [цільові мережі]
  • Для швидшого сканування: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [цільові мережі]
  • Для поглибленого сканування: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [цільові мережі]
  1. Якщо ви не бажаєте завантажувати всі оновлення Windows, але хочете переконатися, що ви принаймні захищені від загроз Win32/Conficker, завантажте і встановіть патчі(KB958644, KB957097 і KB958687) з наступних бюлетенів безпеки Microsoft на всіх комп'ютерах у вашій мережі:
    Виправлення не потрібні для Windows 7 і Server 2008

    Наведені нижче патчі не потрібні для Windows 7 або Server 2008 r2, оскільки експлойт, що використовується Conficker, не існує в цих операційних системах. Однак, для Microsoft Windows Server 2008 потрібні наведені нижче патчі.



  2. Встановіть та оновіть рішення безпеки ESET на всіх машинах
  3. Змініть усі паролі в мережі, оскільки Conficker буде використовувати будь-які паролі, які він вже зареєстрував або отримав за допомогою грубої сили.

  4. Запустіть ESET Conficker Removal Tool на кожному комп'ютері:

  5. Видаліть усі заплановані завдання, створені Win32/Conficker, за допомогою наступної команди на клієнтах:

    at /delete /yes

Якщо наведені вище кроки не вирішили проблему, скиньте всі паролі, а потім виконайте наступні кроки, щоб визначити, які машини все ще намагаються поширювати інфекцію:

  1. Увімкніть аудит невдалих подій входу в систему:

      1. На контролерах домену натисніть ПускАдмініструванняПолітика безпеки контролера домену.

      1. Перейдіть до Налаштування безпекиЛокальні політикиПолітика аудитуАудит подій входу.

      1. Переконайтеся, що для параметра Аудиторські події входу в систему налаштовано запис усіх успішних і неуспішних подій.

  2. Перегляньте журнал подій безпеки на контролері(ах) домену на наявність подій з ідентифікатором 529 (якщо не відбувається жодної події з ідентифікатором 529, це означає, що Win32/Conficker використовує правильні адміністративні паролі - отже, ваші паролі потрібно змінити).
  3. При перегляді властивостей події ви побачите "Ім'я робочої станції". Це винуватець або один з винуватців, який намагається заразити інші комп'ютери.
  4. Перейдіть до виявленого клієнта(ів) і повторіть кроки 1-5 вище.

Після завершення наведених вище кроків для кроків очищення (мережа) слід знову змінити всі адміністративні паролі, щоб переконатися, що Conficker не має жодного з цих паролів. Якщо Conficker продовжує показувати загрози після того, як всі комп'ютери було виправлено, це означає, що або залишився ще один незахищений комп'ютер, або на ньому не встановлено та не оновлено ESET.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Останнє оновлення: Mar 10, 2026

Додаткові ресурси

Посібники користувача

Форум ESET

Відео на YouTube
ESET Status Portal ESET Technical Support

Існуючий клієнт?