לדף הבית
 

פורטל תמיכה

    Share

Conficker - איך מתמודדים ?
KB Solution ID: EKBS0012 |  יום רביעי 29 פברואר 2012

תאור התופעה
מהן התופעות השונות ?
  • אין אפשרות גישה לעורך הרישום (Regedit) ו/או למנהל המשימות (Task Manager).
  • אין אפשרות לבצע עדכוני אבטחה של מערכות ההפעלה.
פתרון

 

פעולות לביצוע ברשת נגועה בוירוס:


1. יש לבצע עדכוני אבטחה של מיקרוסופט בכל הרשת (באמצעות WSUS)

    הסכנה בחשיפה ל win32/conficker נובעת מפרצה במערכת ההפעלה של מיקרוסופט (התיקון שוחרר באוקטובר 2008).
    על מנת להימנע מהדבקות שנגרמת מפרצות אבטחת מידע של מיקרוסופט צריך לוודא שמערכת ההפעלה תמיד עם
    העדכונים האחרונים ביותר. ניתן למצוא עדכונים אחרונים למערכת ההפעלה ב http://update.microsoft.com/.
    חובה להתקין את עדכוני האבטחה הבאים:

    Microsoft Security Bulletin MS08-067 ג€“ Critical - Vulnerability in Server Service Could Allow Remote Code Execution
    Microsoft Security Bulletin MS08-068 ג€“ Important - Vulnerability in SMB Could Allow Remote Code Execution
    Microsoft Security Bulletin MS09-001 - Critical - Vulnerabilities in SMB Could Allow Remote Code Execution

2. יש לודא שיש התקנה מלאה  של גרסא האחרונה 4.2.76 ולוודא שהיא מעודכנת - בכל התחנות בארגון ללא יוצא מן הכלל:

    א. הפעל את ממשק-המשתמש של האנטי וירוס

      (Start > All Programs > ESET > ESET NOD32 Antivirus > ESET NOD32 Antivirus)

      (Start > All Programs > ESET > ESET Smart Security > ESET Smart Security)

    ב. גש ל Update ולחץ מצד ימין על Update Virus Signature Database

3. יש להחליף סיסמאות לכל שמות המשתמש בעלי הרשאות Administrator (גם Local וגם Admin)
    שימו לב! ל Conficker אפשרות להשתמש בפרטי המשתמש של ה Administrator כדי להפיץ את עצמו ברשת, לכן אסור
    בתכלית האיסור לעשות לוג-אין למחשב נגוע באמצעות משתמש בעל הרשאות Administrator.

4. יש להריץ את הכלי של מיקרוסופט Malicious Software Removal tool (בקיצור MRT) בתחנות.
    הפעלת הקובץ נעשית באמצעות הקובץ c:\windows\system32\mrt.exe.
    ניתן להוריד את הכלי מהקישור הבא: http://support.microsoft.com/kb/890830

5. הפעל סריקה יזומה בכל התחנות באמצעות ממשק הניהול
    א. הפעל את ממשק הניהול ESET RA Console
    ב. סמן את כל התחנות באמצעות ctrl A
    ג. לחץ קליק-ימני על אחת התחנות, כאשר כולן מסומנות, בחר ב (New Task > On Demand Scan (Cleaning Enable
    ד. לחץ NEXT עד הסוף

6.  יש להריץ את הכלי הייעודי של ESET לטיפול ב Conficker

  •    יש להוריד את הקובץ http://download.eset.com/special/EConfickerRemover.exe ולשמור אותו
         בשרת ב ESET המשותפת.
  •     צור קובץ חדש econfickerremover.BAT בתיקיית ESET. הכנס לתוכו את הפקודה
  •      server_name\eset\EConfickerRemover.exe\\  לאחר מכן יש לשמור את הקובץ.
  •     גש לממשק ניהול ESET RA Console ובאמצעות Remote Install יש ליצור Package שמריץ את קובץ
          ה BAT שיצרת בסעיף הקודם.
  •     תחת לשונית Remote Install באמצעות INSTALL תשלח את הקובץ לכל התחנות.

 

פעולות לביצוע במחשב נגוע:


בשום פנים ואופן אין לבצע Log-in למחשב נגוע באמצעות משתמש Administrator אלא רק עם משתמש לוקאלי.

1. יש לבצע עדכוני אבטחה של מיקרוסופט בתחנה -
    הסכנה בחשיפה ל win32/conficker נובעת מפרצה במערכת ההפעלה של מיקרוסופט (התיקון שוחרר באוקטובר 2008).
    על מנת להימנע מהדבקות שנגרמת מפרצות אבטחת מידע של מיקרוסופט צריך לוודא שמערכת ההפעלה תמיד עם
    העדכונים
    האחרונים ביותר. ניתן למצוא עדכונים אחרונים למערכת ההפעלה ב http://update.microsoft.com/
    חובה להתקין את עדכוני האבטחה הבאים:
    Microsoft Security Bulletin MS08-067 - Critical - Vulnerability in Server Service Could Allow Remote Code Execution
    Microsoft Security Bulletin MS08-068 ג€“ Important - Vulnerability in SMB Could Allow Remote Code Execution
    Microsoft Security Bulletin MS09-001 - Critical - Vulnerabilities in SMB Could Allow Remote Code Execution

2. יש לודא התקנה מלאה של גרסא ESET 4 ולוודא שהיא מעודכנת:
    א. הפעל את ממשק-המשתמש של האנטי וירוס
      (Start > All Programs > ESET > ESET NOD32 Antivirus > ESET NOD32 Antivirus)
      (Start > All Programs > ESET > ESET Smart Security > ESET Smart Security)
    ב. גש ל Update ולחץ מצד ימין על Update Virus Signature Database

3.  הרץ סריקה יזומה למחשב.

4. יש להריץ את הכלי של מיקרוסופט Malicious Software Removal tool (בקיצור MRT) בתחנות.
    הפעלת הקובץ נעשית באמצעות הקובץ c:\windows\system32\mrt.exe.
    ניתן להוריד את הכלי מהקישור הבא: http://support.microsoft.com/kb/890830

5.   א. יש להוריד את הקובץ http://download.eset.com/special/EConfickerRemover.exe ולשמור אותו בכונן \:c.
    ב. לאחר מכן תעלה את המחשב במצב בטוח (Safe mode).
    לאחר שהמחשב עלה במצב בטוח, גש ל Start > Run ותרשום את הפקודה: c:\EconfickerRemover.exe -force
      (יש להריץ את הכלי בהרשאות Administrator).
    ד. לחץ ENTER לאישור

6. יש לעצור את השירות Server - שירות זה אחראי, בין השאר, על שיתופי קבצים ומדפסת ברשת ולכן יכול להשפיע על
    ההתפרצות של ה Conficker לשאר המחשבים ברשת.
    א. גש ל Start > run והקלד Services.msc
    ב. לחץ דאבל קליק על השירות server ולאחר מכן לחץ על STOP.
    ג. שנה את מצב ההפעלה (startup type) ל Disable
    ד. לאחר מכן הפעל מחדש את השירות על ידי לחיצה על start.

7. מחק את המשימות היזומות (Scheduled Tasks) שנוצרו ע"י ה Conficker ומזוהות כ AT.
    גש ל Start > Run והקלד: AT /delete / yes

8. עצור את מנהל המשימות במחשב:
    א. כנס לעורך הרישום Start < run Regedit.exe
    ב. גש לשורה: HKLM\system\CurrentControlSet\services\Scheduler
    ג. בטבלה מימין עמוד על Start, לאחר מכן קליק ימני, ובחר Modify (שנה)
    ד. ב Value data יש לשים את הערך: 4 ולאשר.
    ה. סגור את עורך הרישום ואתחל את המחשב.

9. יש לאתר את שם התהליך הזדוני בתוך עורך הרישום:
    א. פתח את עורך הרישום: גש ל Start > Run, הקלד regedit ואז ENTER.
    ב. גש לערך: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
    ג. גש לשורת Details ואז לחץ קליק-ימני על netsvcs.
    ד. הערך ששייך ל Conficker יופיע כשם אקראי במיקום אקראי. ייתכן והוא יופיע בסוף הרשימה, אך זה לא הכרחי.
      יש להשוות את רשימת התהליכים שמופיע בפנייך עם רשימת התהליכים הלגיטימית של מערכת ההפעלה-
      הרשימה מופיעה בדף הפתרון הבא http://support.microsoft.com/kb/962007/en-us לאחר שנכנסתם לדף, לחצו
      ctrl F (
חיפוש) וחפשו את הערך services table.

10. הגבל הרשאות במפתח הרישום SVCHOST- כך לא ניתן יהיה לכתוב עליו שוב.
   
א. אתר את המפתח HKLM\software\microsoft\Windows NT\CurrentVersion\SVCHOST
   
ב. לחץ קליק ימני על SVCHOST ואז בתיבת הדו-שיח שתפתח לחץ על Permissions.
   
ג. לחץ על מתקדם ובתיבת הדו-שיח שתפתח לחץ על Add  הוסף את .Everyone 
   
ד. אשר על ידי OK

11. שנה הרשאות עבור השירות הזדוני ,שמצאת בסעיף 9 ,להרשאות עבור אותו משתמש שנמצא בשימוש.
   

12. אתר את ה DLL שמקושר לשירות הזדוני הנטען כ "ServiceDll"  .

  חפש את הערך ServiceDll ברג'יסטרי , ולחץ פעמיים על הערך .ServiceDll

  שנה את שם ההפניה באופן שהיא תיראה כך SystemRoot%\System32\sample.old%

לחץ על אישור.

13. הסר את הערך של השירות הזדוני מ RUN:
    א. אתר את שני המפתחות הבאים:
      HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    ב. בשני המפתחות המשנה האלה, אתר ערך כלשהו שמתחיל ב "rundll32.exe" ואף מפנה את קובץ
      ה DLL של התוכנה הזדונית שנטען כ "ServiceDll" (שזיהית בסעיף 12).
    ג. צא מעורך הרישום ואתחל את המחשב.

14. אתר פיזית את קובץ ה DLL במחשב (לרוב תצטרך לאפשר לצפות בתיקיות וקבצים נסתרים):
    א. שלח לנו דגימה של הקובץ - סגור אותו ב ZIP עם סיסמא 123 ותשלח ל support@eset.co.il  ופרט את סיבת הפנייה.
    ב. עמוד על הקובץ, קליק ימני, Properties, גש ללשונית Security.
    ג. לחץ על Everyone ואז בעמודת Allow בחר ב Full Control.
    ד. לחץ על אישור OK.
    ה. מחק את הקובץ.

 

 

לאחר שהמחשב נוקה!
    1. הפעל מחדש את שירות Server.
    2. אחסן את הרשאות ברירת המחדל במפתח הרישום SVCHOST.
    3. הפעל Windows Update.

 

פתרונות דומים
לא נימצאו פתרונות דומים.
ספק משוב על פתרון זה
האם מידע זה פתר את הבעיה?
האם המידע היה ברור ומובן?
מה נוכל לעשות כדי לשפר פתרון זה?
הערותיך יעזרו לנו לשפר את מאגר המידע שלנו .בקשות לעזרה יש
להגיש דרך ערוץ התמיכה הרגיל ,כיוון שאיננו יכולים להגיב מדף זה.


    © כל הזכויות שמורות לקומסקיור בע"מ 2004-2011  |  הנציגה הבלעדית של ESET בישראל  |  פתרונות האנטי וירוס החכמים והקלים בעולם

    סימנים מסחריים אשר בשימוש באתר זה הינם סימנים מסחריים או מותגים רשומים של ESET spol. s r.o. או ESET, LLC.
    כל השמות והמותגים האחרים הם סימנים מסחריים רשומים של החברות הרשומות