Masken conficker, eller downadup som den också kallas, har orsakat stor uppståndelse då den bland annat lyckats infektera stora företagsnätverk och sjukhusnätverk.
Masken uttnyttjar en sårbarhet i Windows Server Service och sprids även genom utdelade mappar i nätverk (SMB) samt infekterar den autorun.inf på flyttbara, skrivbara diskar och usb-minnen.
Kontrollera om datorn är infekterad av masken/viruset
För att kontrollera om datorer är infekterade av conficker kan man med fördel använda sig av nätverksscannern Nmap.
nmap -PN -T4 -p139,445 -n -v –script=smb-check-vulns –script-args safe=1 [IP]
Borttagning av masken/viruset
Använd till att börja med Conficker Memory Killer för att avsluta alla processer som är infekterade med conficker. Använd sedan valfritt Antivirusprogram eller removal tool för att radera masken.
Undvik ytterligare spridning av masken/viruset
Skapa en ny princip som du kan använda på alla datorer i en särskild organisationsenhet, webbplats eller domän enligt behoven i din miljö.
Gör så här:
1. Ange att principen ska ta bort skrivbehörigheter för följande registerundernycklar:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
Detta förhindrar att den slumpmässigt namngivna skadliga programvarans tjänst skapas i registervärdet netsvcs.
Gör så här:
1. Öppna konsolen Grupprinciphantering (GPMC).
2. Skapa ett nytt grupprincipobjekt (GPO). Ge det vilket namn som helst.
3. Öppna det nya grupprincipobjektet och flytta sedan till följande mapp:
Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Register
4. Högerklicka på Register och klicka sedan på Lägg till nyckel.
5. I dialogrutan Välj registernyckel expanderar du Dator och flyttar sedan till följande mapp:
Software\Microsoft\Windows NT\CurrentVersion\Svchost
6. Klicka på OK.
7. I dialogrutan som öppnas avmarkerar du kryssrutan Fullständig behörighet för både Administratörer och System.
8. Klicka på OK.
9. I dialogrutan Lägg till objekt klickar du på Ersätt befintliga behörigheter för alla undernycklar med ärftliga behörigheter.
10. Klicka på OK.
2. Ange att principen ska ta bort skrivbehörighet för mappen %windir%\tasks. På så vis hindras Conficker från att skapa schemalagda aktiviteter som kan angripa systemet igen.
Gör så här:
1. I samma grupprincipobjekt som du skapade tidigare flyttar du till följande mapp:
Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Filsystem
2. Högerklicka på Filsystem och klicka sedan på Lägg till fil.
3. I dialogrutan Lägg till en fil eller mapp bläddrar du till mappen %windir%\Aktiviteter. Se till att Aktiviteter är markerat och med i listan i dialogrutan Mapp:.
4. Klicka på OK.
5. I dialogrutan som öppnas avmarkerar du kryssrutorna för Fullständig behörighet, Ändra och Skriv för både Administratörer och System.
6. Klicka på OK.
7. I dialogrutan Lägg till objekt klickar du på Ersätt befintliga behörigheter för alla undernycklar med ärftliga behörigheter.
8. Klicka på OK.
3. Inaktivera funktionerna för automatisk uppspelning (autorun). På så vis förhindrar du att Conficker sprids genom de inbyggda funktionerna för automatisk uppspelning i Windows.
Gör så här:
1. I samma grupprincipobjekt som du skapade tidigare flyttar du till någon av följande mappar:
* Flytta till följande mapp i en Windows Server 2003-domän:
Datorkonfiguration\Administrativa mallar\System
* Flytta till följande mapp i en Windows 2008-domän:
Datorkonfiguration\Administrativa mallar\Windows-komponenter\Principer för Spela upp automatiskt
2. Öppna principen Inaktivera Spela upp automatiskt.
3. I dialogrutan Inaktivera Spela upp automatiskt klickar du på Aktiverad.
4. I den nedrullningsbara menyn klickar du på Alla enheter.
5. Klicka på OK.
4. Inaktivera det lokala administratörskontot. Detta blockerar Conficker från att använda lösenordssökningsangrepp på datorns administratörskonto.
Obs! Utför inte den här åtgärden om du länkar grupprincipobjektet till domänkontrollantens organisationsenhet eftersom du då kan inaktivera domänadministratörens konto. Om du måste göra det här på domänkontrollanterna skapar du ett separat grupprincipobjekt som inte länkar grupprincipobjektet till domänkontrollantens organisationsenhet. Länka sedan det separata grupprincipobjektet till domänkontrollantens organisationsenhet.
Gör så här:
1. I samma grupprincipobjekt som du skapade tidigare går du till följande mapp:
Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ
2. Öppna Konton: Status för administratörskontot.
3. I dialogrutan Konton: Status för administratörskontot markerar du kryssrutan Definiera den här principen.
4. Klicka på Inaktiverad.
5. Klicka på OK.
5. Stäng konsolen Grupprinciphantering.
6. Länka det nya grupprincipobjektet till den plats där du vill använda det.
7. Ge grupprincipen tid att uppdateras på alla datorer. Det tar vanligtvis fem minuter för en grupprincip att replikeras till varje domänkontrollant och därefter 90 minuter att replikeras till resten av datorerna. Ett par timmar borde räcka. Mer tid kan dock behövas, beroende på miljön.
8. När grupprincipen har spridits rensar du bort skadliga program från systemen.
http://sakerhet.idg.se/2.1070/1.222022/sa-tar-du-bort-conficker
http://support.microsoft.com/kb/962007