11.02.2013

Глобальные угрозы 2012 года: Autorun и Conficker сохраняют активность

image

Недавно мы опубликовали пресс-релиз «Обзор глобальных угроз и тенденций 2012 года», а также выпустили отчет по самым активным угрозам и описали ключевые технологические тренды.

Автор: ESET

Недавно мы опубликовали пресс-релиз «Обзор глобальных угроз и тенденций 2012 года», а также выпустили отчет по самым активным угрозам и описали ключевые технологические тренды.

Представленная статистика по угрозам (рис.1) показывает, что:

  • В десятке наиболее активных угроз вновь оказались Autorun и Conficker.
  • Вредоносные элементы, которыми заражаются веб-страницы, продолжают укреплять позиции.
  • Кроме того, в рейтинг попали файловые инфекторы Sality и Ramnit.

Рис. 1. Глобальный рейтинг угроз, согласно нашему отчету за 2012 г.

Стоит напомнить о том, какую опасность несет Conficker. Его различные версии используют самые разнообразные методы самораспространения и копирования своего тела c зараженной машины. Особенно актуальным остается метод распространения через включенный автозапуск, в том числе для съемных USB-устройств. Как мы помним, Conficker был одной из причин, по которой Microsoft, начиная с Windows 7, по умолчанию отключила функцию автозапуска со всех съемных носителей, кроме оптических (DVD и CD). В технической заметке MS об изменениях способов автозапуска в Windows 7, червь Conficker назван одной из причин принятия такого решения.

Рис. 2. Изменения в политике автозапуска для Windows 7.

На рисунке 2 мы видим изменения в политике автозапуска для съемных неоптических носителей в системах Windows 7+ (справа) по сравнению с прошлыми версиями ОС (слева). Красным выделен пункт меню, компрометирующий пользователя в случае, когда устройство располагает потенциально вредоносным механизмом автозапуска (INF-файл), что полностью соответствует поведению Conficker. Кроме того, если пользователь отмечал пункт “Always do...”, потенциально опасные объекты могли автоматически запускаться снова и снова. Как можно заметить, теперь такой пункт в меню также отсутствует.

Ниже мы хотим дать несколько советов о том, как избежать заражения червем Conficker.

Регулярно обновляйте ОС

Conficker эксплуатирует ряд уже закрытых уязвимостей для своего распространения:

Microsoft Security Bulletin MS08-067 – Critical - Vulnerability in Server Service Could Allow Remote Code Execution

Microsoft Security Bulletin MS08-068 – Important - Vulnerability in SMB Could Allow Remote Code Execution

Microsoft Security Bulletin MS09-001 - Critical - Vulnerabilities in SMB Could Allow Remote Code Execution

Соответствующие патчи для устранения – KB958644, KB957097 и KB958687. Разумеется, правилом хорошего тона является регулярно обновлять ОС вручную, либо использовать механизм автообновлений – это поможет предотвратить попадание на ваш компьютер различных угроз, эксплуатирующих уязвимости системы.

Отключите автозапуск в Windows Vista / Windows XP

В случае, если вы используете ОС Vista или XP, воспользуйтесь следующими инструкциями для отключения автозапуска:

1. Кликните правой кнопкой мыши по этой ссылке и нажмите “Сохранить ссылку как...”.

2. Выберите место, куда вы хотите сохранить файл (к примеру, на рабочий стол) и нажмите “Сохранить”.

3. Откройте то место, куда вы сохранили файл и сделайте по нему двойной щелчок для добавления информации в реестр. Подтвердите добавление информации, нажав “Да”.

Обратите внимание! После того, как вы импортируете информацию из файла в системный реестр, любой файл аutorun.inf будет игнорироваться вашей системой. Таким образом, даже установочные CD/DVD больше не смогут запускаться автоматически.

Если вам нужно очистить компьютер от Conficker или вы подозреваете, что уже подверглись его заражению, воспользуйтесь следующими инструкциями:

  1. Отключите сетевой шнур. Червь может распространяться как в интернете, так и по локальной сети.
  2. По возможности, используйте другой, незараженный компьютер для загрузки патчей для вышеупомянутых уязвимостей .
  3. Установите новый, криптостойкий пароль для вашего аккаунта администратора.
  4. Воспользуйтесь нашей утилитой EConfickerRemover для удаления Conficker.
  5. Скачайте и установите последнюю версию продукта ESET NOD32.
  6. Обновите антивирусные базы.

Чтобы убедиться, что лечение прошло успешно, повторно запустите утилиту EConfickerRemover, а затем воспользуйтесь сканером в составе антивируса. Мы также рекомендуем обратить внимание на данную статью Microsoft, содержащую подробную информацию о Conficker. 

или введите имя

CAPTCHA