Conficker - nie panikuj, znajdź i wywal
Świat ostatnio z lekka oszalał na punkcie przewidywanych na 1 kwietnia problemów, jakie wywołać miał jeden z najgroźniejszych podobno robaków komputerowych - Conficker, znany też jako Downup, Downadup lub Kido.
1 kwietnia minął, nic konkretnego się nie stało.
Nie znaczy to jednak, że zagrożenie nie istnieje czy choćby że ostrzeżenia są przesadzone.
Świat ostatnio z lekka oszalał na punkcie przewidywanych na 1 kwietnia problemów, jakie wywołać miał jeden z najgroźniejszych podobno robaków komputerowych - Conficker, znany też jako Downup, Downadup lub Kido.
1 kwietnia minął, nic konkretnego się nie stało.
Nie znaczy to jednak, że zagrożenie nie istnieje czy choćby że ostrzeżenia są przesadzone.
Conficker jest groźny głównie dlatego, że niewiele osób - nadal! - traktuje poważnie kwestie bezpieczeństwa swoich systemów komputerowych. No bo przecież łatka, która uniemożliwia robakowi przeniknięcie do komputera, wydana została mniej więcej w tym samym czasie, kiedy Conficker pojawił się na scenie internetowej. Jak zwykle więc, najsłabszym ogniwem jest człowiek...
Nie ma jednak w zasadzie co panikować - przy odpowiednim podejściu, Conficker nie jest wcale groźniejszy, niż dowolny inny robak. W końcu, jeśli coś nas nie zainfekuje, to nie wyrządzi też szkód na naszym komputerze. Warto więc sprawdzić czy się go nie złapało, a jeśli tak - usunąć. I zacząć uważać.
Objawy infekcji
Dave Marcus z McAfee Avert Labs: Jednym z objawów infekcji tym robakiem jest blokowanie dostępu do stron internetowych firm związanych z bezpieczeństwem internetowym.
Najprościej jest więc sprawdzić po prostu, czy otwierają się nam takie strony, jak np. mcafee.com czy kaspersky.com.
Robak blokuje także możliwość pobierania aktualizacji Windows, a "przy okazji" uniemożliwia wejście na stronę microsoft.com. Oraz wiele innych - serwis Viruslist opublikował cała listę ciągów znaków, których wystąpienie w adresie powoduje niemożność wejścia na stronę internetową.
Możesz też sprawdzić, czy w marcu zostały pobrane jakiekolwiek automatyczne aktualizacje Windows i/lub najnowsze aktualizacje oprogramowania antywirusowego. Conficker blokuje także te działania.
Diagnoza i leczenie
Robak tworzy usługę w celu zapewnienia sobie uruchamiania się wraz z każdym startem systemu Windows na zainfekowanym komputerze. Pojawia się następujący klucz rejestru:
[HKLMSYSTEMCurrentControlSetServicesnetsvcs]
a modyfikacji ulega ten:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost]
Usunąć paskudę można za pomocą aktualnego oprogramowania antywirusowego, specjalnego narzędzia do usuwania - KKiller.exe, lub ręcznie w taki sposób:
- Usuń poniższy klucz rejestru systemowego:
[HKLMSYSTEMCurrentControlSetServicesnetsvcs]
- Usuń %System%(rnd).dll z poniższego parametru klucza rejestru systemowego:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"
- Uruchom ponownie swój komputer
- Usuń oryginalny plik robaka (loadadv.exe) - lokalizacja będzie zależała od sposobu przeniknięcia programu do zaatakowanego komputera.
- Usuń poniższy plik:
*%System%(rnd).dll
(rnd) jest ciągiem losowych symboli*
- Usuń poniższe pliki ze wszystkich przenośnych nośników danych:
*(X):autorun.inf :RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665(rnd).vmx
rnd jest ciągiem losowych symboli pisanych małą literą; X jest dyskiem*
Szczepionka
Pobierz i zainstaluj następujące łaty dla luk w zabezpieczeniach:
Zainstaluj oprogramowanie antywirusowe jeśli jeszcze go nie masz, i pilnuj, żeby zawsze mieć aktualną dla niego bazę wirusów.
