|
Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Вопрос - Червь Conficker: Защита ОС Windows от вредоносного ПО Conficker.A и Conficker.B |
|
Вопрос - Червь Conficker: Защита ОС Windows от вредоносного ПО Conficker.A и Conficker.B
|
(*.*) Сообщения: 36490 |
Профиль | Сайт | Отправить PM | Цитировать Эта статья призвана помочь пользователям и специалистам, предоставив консолидированную информацию о черве Conficker, способах защиты и восстановления зараженных систем.
Общая информация о черве Conficker 23 октября 2008 года корпорация Microsoft выпустила обновление по информационной безопасности MS08-067, чтобы устранить уязвимость в службе сервера ОС Windows, которая на момент выпуска обновления подвергалась лишь редким узконаправленным и ограниченным атакам. Уязвимость могла позволить анонимному злоумышленнику успешно получить полный контроль над уязвимой системой через сетевую атаку. Данный вектор атак традиционно описывается как сетевой «червь». После выпуска обновления MS08-067 Центр Microsoft по защиты от вредоносного ПО (Malware Protection Center или MMPC) обнаружил два варианта червя Win32/Conficker в открытом Интернете: Читать дальше на Microsoft Technet См. также Руководство: борьба с KIDO\CONFICKER в сети (рабочая группа) (из личного опыта volk1234) |
|
------- Отправлено: 19:05, 19-02-2009 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Цитата IWTK:
Потому как эта учетная запись создаваемая при установке имеет права администратора. Майкрософт осознала и в Висте ввела революционный принцип UAC. Да он раздражает, но цель была достигнута. K.gusarch Читайте в шапке, мой способ, только раздел II. Смените пароль если он есть (возможно вирус пролазит к вам снова по сети подбирая ваш простейший пароль) Смените имя учетной записи администратор(и пароль на ней) Пароли должны быть сложными! Проверьте флэшки свои. В общем читайте мануал ! |
|
------- Отправлено: 11:25, 25-08-2009 | #31 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Пароли непростые, не менее 10 символов,буквы,цифры,регистр.
Попробую с именами. |
Отправлено: 11:37, 25-08-2009 | #32 |
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Обнаружил следующее.
Conficker создаёт задание в Windows\Tasks с названием At1.job Внутри команда: rundll32.exe oossm,aidwuf В определённое время (16.00) задание запускается, и Nod блокирует и помещает в карантин файл samqi.n из System32. Задание удаляю руками или Kidokiller-ом - спустя некоторое время появляется. Что посоветуете? Машины win2003,нужные заплатки стоят. В реестре, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost и HKLM\SYSTEM\CurrentControlSet\Services\netsvcs в порядке |
Отправлено: 05:01, 10-09-2009 | #33 |
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Ветку svchost заблокировал.
Посмотрю появится ли снова. |
Отправлено: 08:32, 10-09-2009 | #34 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Цитата K.gusarch:
Цитата K.gusarch:
Эти порты нужны для нормального функционирования рабочей группы. Но без пароля и имени администратора вирус не может задавать запланированнфе задания. Отсюда: 1) если он пролазит через сеть, у вас либо несколько У.З. администратора. проверьте все ли записи запороленны и сложный ли пароль, особенно встроенная у.з. - та которая называется Администратор. Вообще отключите все лишние у.з. В идеале оставьте 2 вашу Пользователя и с правами Администратора. 2) если о пролазит не через сеть - значит не долечили на HDD или флэшку. Цитата K.gusarch:
Приведите параметр netsvcs из ветки |
|||
------- Последний раз редактировалось volk1234, 10-09-2009 в 09:37. Отправлено: 09:17, 10-09-2009 | #35 |
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Параметр netsvc:
|
Отправлено: 10:20, 10-09-2009 | #36 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать K.gusarch
используйте пожалуйста теги [more] и [code]... |
------- Отправлено: 10:24, 10-09-2009 | #37 |
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Я ошибся, нет у меня ветки HKLM\SYSTEM\CurrentControlSet\Services\netsvcs.
Нашёл хороший скрипт,проверяет подозрительные скрытые файлы: net view /DOMAIN:тут пишем свой домен > comps.txt for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do ( if exist %%i\c$\windows\system32 dir /A:H %%i\c$\windows\system32 >> C:\SysReport01.txt if exist %%i\c$\winnt\system32 dir /A:H %%i\c$\winnt\system32 >> C:\SysReport01.txt ) |
Отправлено: 10:26, 10-09-2009 | #38 |
Старовер Сообщения: 1708
|
Профиль | Отправить PM | Цитировать Посмотрел ваш параметр netsvc, зловредов нет, значит правильно заблокировали ее.
Только надо определить откуда лезет вирус. Сколько у вас активных учетных записей? |
------- Отправлено: 10:31, 10-09-2009 | #39 |
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Спасибо,нашёл причину.
Слабый пароль учетки с правами админа. Вот выяснить бы ещё откуда он ломится. Больше ста. Примерно представляю с какого места он может идти. |
Отправлено: 10:35, 10-09-2009 | #40 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Доступ - Помогите восстановить систему после вируса(Conficker.B Kido.ep) | mishanya85 | Microsoft Windows 2000/XP | 8 | 25-07-2010 01:41 | |
[решено] вирус Win32/Conficker.Gen | sure777 | Лечение систем от вредоносных программ | 3 | 09-10-2009 12:49 | |
[решено] Win32/Conficker.AA | lynxxx | Лечение систем от вредоносных программ | 13 | 27-05-2009 08:10 | |
Worm:Win32/Conficker (II) | inf-45 | Лечение систем от вредоносных программ | 2 | 10-03-2009 08:35 | |
Подозрение на червь | Сет | Программное обеспечение Windows | 7 | 26-10-2007 17:43 |
|