Hvordan Conficker-ormen Få på datamaskinen?

Hvordan Conficker-ormen Få på datamaskinen?


Conficker-ormen ble først sett i november 2008, og infiserte maskiner som kjører operativsystemet Microsoft Windows ved å utnytte ikke oppdatert sårbarheter. Infiserte maskiner sluttet millioner av andre til å bli en del av en bot-net, under kommando og kontroll av en sentral program. Millioner av dollar verdt av skader og avbrudd forårsaket av Conficker, noe som smittet maskiner som tilhører den militære, politi og andre offentlige tjenester over hele verden, samt millioner av hjemmedatamaskiner.

Metoder for infeksjon

Conficker primære infeksjon metode var en sårbarhet i Windows Server-tjenesten, som tillot en spesiallaget RPC kall til å kjøre kode utenfor normalområdet av brukerens rettigheter. Dette sikkerhetsproblemet ble løst i Microsoft Security Bulletin MS08-067. En Internett-tilkoblet datamaskin kan bli målrettet av ormen sondering for å se om det er sårbart. Når smittet, ormen forsøker å infisere andre sårbare maskiner på det lokale nettverket, og også laster ned lister over brukerkontoer og forsøker å bryte passord for nettverket aksjer og lignende. Flyttbare medier er også målrettet, med ormen kopiering seg til media og legge en INF-fil for å forsøke å automatisk kjøre ormen når media blir brukt. Disse flere infeksjons metoder bidratt til å sikre den massive spredningen av Conficker, og legger til den sentrale bot-net.

Bivirkninger

Conficker deaktivert en rekke Windows-tjenester, for å hindre deteksjon og stoppe den fra å bli fjernet fra datamaskinen. Automatiske oppdateringer, Windows Defender og Windows-feilrapportering ble alle gjengitt inaktive, stopper maskinen fra å bli oppdatert og forlate den åpen for flere sårbarheter. Networks opplevd lunger fra den ekstra trafikken og skanner generert av ormen, domenekontrollere bremset ned og brukere kan bli stengt ute fra sine kontoer. Noen anti-virus programvare ble gjengitt inaktive, og brukerne ble stoppet fra å få tilgang leverandører nettsteder. Conficker kan også oppdatere seg selv til enhver tid, noe som betyr at skadelig programvare kan lastes ned og installeres på noe tidspunkt mens maskinen var infisert.

Forebygging

Holde datamaskiner oppdatert med de siste sikkerhetsoppdateringene og oppdateringer ved hjelp av Windows Update-tjenesten er det viktigste steget for å hindre smitte av Conficker, eller annen skadelig programvare. Selv om oppdateringene ble utgitt som beskyttet Windows-systemer fra Conficker, ble mange datamaskiner forlatt unpatched forlater ormen gratis å infisere store antall maskiner. Installere en anerkjente anti-virus pakke også fungerer som sterk beskyttelse mot Conficker og andre ormer, men må også holdes oppdatert for å være effektive. Sterke nettverkspassord kan bidra til å stoppe spredningen av Conficker gjennom en infisert nettverk, ved å stoppe ormen sprer seg til nettverket aksjer. Autokjør kan deaktiveres for flyttbare enheter som USB-minnepinner, for å stoppe programmer fra å bli kjørt automatisk når media er satt inn.

fjerning

Last ned "Microsoft Windows Malicious Software Removal Tool (KB890830)" for å hjelpe med fjerning av Conficker-ormen, og en rekke andre skadelige programmer. Når den er installert, vil verktøyet for fjerning skanne datamaskinen for å se hvilke filer som er infisert, og vil deretter forsøke å fjerne ormen og desinfisere datamaskinen. Dersom flytting verktøyet unnlater å kunne fjerne ormen, detalj manuelle instruksjoner er tilgjengelige i Microsoft Knowledge artikkelen "Virus Alert om Win32 / Conficker-ormen (KB962007)." Infiserte nettverk bør tas offline mens de er renset, og bør ikke kobles til alle maskiner har blitt desinfisert og forebyggende tiltak for å hindre ny infeksjon.