התראת וירוסים על התולעת Win32/Conficker

תרגומי מאמרים תרגומי מאמרים
Article ID: 962007 - View products that this article applies to.
התמיכה ב-Windows Vista Service Pack 1 (SP1) מסתיימת ב- 12 ביולי, 2011. כדי להמשיך לקבל עדכוני אבטחה עבור Windows, ודא שבמחשב שלך פועלת מערכת ההפעלה Windows Vista עם Service Pack 2 (SP2). לקבלת מידע נוסף, בקר בדף אינטרנט זה של Microsoft: התמיכה מסתיימת עבור חלק מהגירסאות של Windows.
הרחב הכל | כווץ הכל

On This Page

סיכום:

המידע במאמר Knowledge Base זה מיועד לסביבות עסקיות בעולת מנהלי מערכת שיכולים ליישם את המידע המפורט במאמר זה. אין סיבה להשתמש במאמר זה אם תוכנית האנטי-וירוס שברשותך מנקה כראוי את הווירוס ואם המערכת שלך מעודכנת לחלוטין. כדי לוודא שהמערכת נקייה מהווירוס Conficker, בצע סריקה מהירה מתוך דף האינטרנט הבא: http://www.microsoft.com/security/scanner/en-us/default.aspx לקבלת מידע מפורט על הווירוס Conficker, בקר בדף האינטרנט הבא של Microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

סימפטומים של הידבקות

אם המחשב שלך נדבק בתולעת זו, לא תיתקל בסימפטומים כלל, או שתיתקל באחד מהסימפטומים הבאים:
  • טעויות במדיניות נעילת חשבון.
  • עדכונים אוטומטיים, (BITS) Background Intelligent Transfer Service, Windows Defender ושירותי דיווח על שגיאות מושבתים.
  • בקרי תחום מגיבים לאט מאוד לבקשות הלקוח.
  • הרשת עמוסה.
  • אין אפשרות לגשת לאתרי אינטרנט שונים הקשורים לאבטחה.
  • כלים שונים הקשורים לאבטחה לא יפעלו. לקבלת רשימה של כלים ידועים, בקר בדף האינטרנט הבא של Microsoft ולאחר מכן לחץ על הכרטיסיה ניתוח לקבלת מידע על Win32/Conficker.D. לקבלת מידע נוסף, בקר בדף האינטרנט הבא של Microsoft:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
לקבלת פרטים נוספים על Win32/Conficker, בקר בדף האינטרנט הבא של Microsoft Malware Protection Center:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

שיטות הפצה

יש שיטות רבות להפצת התולעת Win32/Conficker. ביניהן השיטות הבאות:
  • ניצול הפגיעות שעדכון אבטחה (MS08-067) 958644 מתקן
  • שימוש ברשתות משותפות
  • שימוש בפונקציונליות 'השמעה אוטומטית'
לכן, עליך להיות זהיר בעת ניקוי רשת כדי שהאיום לא יחזור על עצמו במערכות שנוקו בעבר.

הערה גירסת Win32/Conficker.D אינה מתפשטת לכוננים נשלפים או לתיקיות משותפות ברשת. Win32/Conficker.D מותקן על-ידי גירסאות קודמות של Win32/Conficker.

מניעה

  • השתמש בסיסמאות מנהל מערכות חזקות ייחודיות עבור כל המחשבים.
  • אל תתחבר למחשבים באמצעות אישורי מנהל תחום או אישורים בעלי גישה לכל המחשבים.
  • ודא שעדכוני האבטחה האחרונים הוחלו בכל המערכת.
  • הפוך את תכונות ההפעלה האוטומטית לבלתי זמינות. לקבלת מידע נוסף, ראה שלב 3 בסעיף "יצירת אובייקט מדיניות קבוצתית".
  • הסר זכויות מיותרות למיקומים משותפים. פעולה זו כוללת הסרת הרשאות כתיבה לבסיס של מיקומים משותפים.

שלבים בהפחתת הסיכון

מנע את התפשטות Win32/Conficker באמצעות הגדרות מדיניות קבוצתית

הערות
  • חשוב הקפד לתעד את ההגדרות הנוכחיות לפני שתבצע את השינויים המוצעים במאמר זה.
  • נוהל זה אינו מסיר את התוכנה הזדונית Conficker מהמערכת. הנוהל רק עוצר את התפשטותה של התוכנה הזדונית. כדי להסיר את התוכנה הזדונית Conficker מהמערכת שלך, עליך להשתמש במוצר אנטי-וירוס. לחלופין, בצע את השלבים בסעיף "שלבים ידניים להסרת הווירוס " של מאמר Knowledge Base זה כדי להסיר באופן ידני את התוכנה הזדונית מהמערכת.
  • ייתכן שלא תוכל להתקין כראוי יישומים, ערכות Service Pack או עדכונים אחרים כאשר מתבצעים שינויים בהרשאות, בהתאם להמלצות בשלבים הבאים. התקנות אלה כוללות בין היתר, מבלי להגביל, החלת עדכונים באמצעות Windows Update, שרת Microsoft Windows Server Update Services (WSUS) ו- System Center Configuration Manager (Configuration Manager 2007), מאחר שמוצרים אלה מסתמכים על רכיבים של תכונת העדכונים האוטומטיים. הקפד לשנות את ההרשאות בחזרה להגדרות ברירת המחדל לאחר שתנקה את המערכת.
  • לקבלת מידע על הרשאות ברירת המחדל עבור מפתח הרישום SVCHOST ותיקיית המשימות שמוזכרים בסעיף "יצירת אובייקט מיניות קבוצתית", ראה טבלת הרשאות ברירת מחדל בסוף מאמר זה.

יצירת אובייקט מדיניות קבוצתית

צור אובייקט מדיניות קבוצתית (GPO) חדש שחל על כל המחשבים ביחידה ארגונית (OU), אתר או תחום ספציפיים, כנדרש בסביבה שלך.

לשם כך, בצע את השלבים הבאים:
  1. הגדר את המדיניות להסרת הרשאות כתיבה למפתח המשנה של הרישום שלהלן:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    פעולה זו מונעת את יצירת שירות התוכנה הזדונית בעלת השם האקראי בערך הרישום netsvcs.

    לשם כך, בצע את השלבים הבאים:
    1. פתח את קונסולת ניהול המדיניות הקבוצתית (GPMC).
    2. צור אובייקט מדיניות קבוצתית חדש. תן לו שם כרצונך.
    3. פתח את ה- GPO החדש ולאחר מכן עבור לתיקיה הבאה:
      Computer Configuration\Windows Settings\Security Settings\Registry
    4. לחץ באמצעות לחצן העכבר הימני על רישום ולאחר מכן לחץ על הוספת מפתח.
    5. בתיבת הדו-שיח בחירת מפתח רישום , הרחב את מחשב ולאחר מכן עבור אל התיקיה הבאה:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. לחץ על אישור.
    7. בתיבת הדו-שיח שתיפתח, לחץ כדי לנקות את תיבת הסימון שליטה מלאה הן עבור מנהלי מערכת והן עבור מערכת.
    8. לחץ על אישור.
    9. בתיבת הדו-שיח הוספת אובייקט , לחץ על החלף הרשאות קיימות בכל מפתחות המשנה בהרשאות שניתן לקבל בירושה.
    10. לחץ על אישור.
  2. הגדר את המדיניות להסרת הרשאות כתיבה לתיקיה %windir%\Tasks. הגדרה זו תמנע מהתוכנה הזדונית Conficker ליצור את המשימות המתוזמנות שעלולות להדביק שוב את המערכת.

    לשם כך, בצע את השלבים הבאים:
    1. באותו GPO שיצרת קודם, עבור אל התיקיה הבאה:
      Computer Configuration\Windows Settings\Security Settings\File System
    2. לחץ באמצעות לחצן העכבר הימני על מערכת קבצים ולאחר מכן לחץ על הוספת קובץ.
    3. בתיבת הדו-שיח הוספת קובץ או תיקיה, דפדף אל התיקיה %windir%\Tasks. ודא שהאפשרות משימות מסומנת ומופיעה בתיבת הדו-שיח תיקיה.
    4. לחץ על אישור.
    5. בתיבת הדו-שיח שתיפתח, לחץ כדי לנקות את תיבות הסימון של שליטה מלאה, שינוי וכתיבה עבור מנהלי מערכת ועבור המערכת.
    6. לחץ על אישור.
    7. בתיבת הדו-שיח הוספת אובייקט , לחץ על החלף הרשאות קיימות בכל מפתחות המשנה בהרשאות שניתן לקבל בירושה.
    8. לחץ על אישור.
  3. הפוך את תכונות ההפעלה האוטומטית ללא זמינות. פעולה זו מונעת מהתוכנה הזדונית Conficker להתפשט באמצעות תכונות ההפעלה האוטומטית המוכללות ב- Windows.

    הערה בהתאם לגירסת Windows שבה אתה משתמש, ישנם עדכונים שונים שצריכים להיות מותקנים כדי שתוכל להפוך כראוי את פונקציונליות ההפעלה האוטומטית לבלתי זמינה:
    • כדי להפוך את פונקציונליות ההפעלה האוטומטית לבלתי זמינה ב- Windows Vista או ב- Windows Server 2008, עדכון אבטחה 950582 צריך להיות מותקן (מתואר בעלון אבטחה MS08-038).
    • כדי להפוך את פונקציונליות ההפעלה האוטומטית לבלתי זמינה ב- Windows XP, ב- Windows Server 2003 או ב- Windows 2000, עדכון אבטחה 950582, עדכון 967715 או עדכון 953252 צריכים להיות מותקנים.
    כדי להגדיר תכונות הפעלה אוטומטית, בצע את הפעולות הבאות:
    1. באותו GPO שיצרת קודם, עבור אל אחת מהתיקיות הבאות:
      • עבור תחום של Windows Server 2003, עבור אל התיקיה הבאה:
        Computer Configuration\Administrative Templates\System
      • עבור תחום של Windows 2008, עבור אל התיקיה הבאה:
        Computer Configuration\Administrative Templates\Windows Components\Autoplay Policies
    2. פתח את המדיניות ביטול הפעלה אוטומטית.
    3. בתיבת הדו-שיח ביטול הפעלה אוטומטית , לחץ על זמין.
    4. בתפריט הנפתח, לחץ על כל הכוננים.
    5. לחץ על אישור.
  4. סגור את קונסולת ניהול המדיניות הקבוצתית.
  5. קשר את ה- GPO החדש שיצרת למיקום שעליו ברצונך להחילו.
  6. הקצה מספיק זמן להגדרות המדיניות הקבוצתית לעדכן את כל המחשבים. באופן כללי, שכפול מדיניות קבוצתית אורך חמש דקות לשכפול לכל בקר תחום ולאחר מכן 90 דקות לשכפול ליתר המערכות. מספר שעות יספיקו לכך. עם זאת, ייתכן שיידרש זמן נוסף, בהתאם לסביבה.
  7. לאחר העברת הגדרות המדיניות הקבוצתית בירושה, נקה את מערכות התוכנה הזדונית.

    לשם כך, בצע את השלבים הבאים:
    1. הפעל את כל סריקות האנטי-וירוס בכל המחשבים.
    2. אם תוכנת האנטי-וירוס שלך אינה מזהה את Conficker, באפשרותך להשתמש ב- Microsoft Safety Scanner כדי לנקות את התוכנה הזדונית. לפרטים נוספים, בקר בדף האינטרנט של Microsoft בכתובת: http://www.microsoft.com/security/scanner/en-us/default.aspxהערה ייתכן שתידרש לבצע שלבים ידניים לניקוי כל ההשפעות של התוכנה הזדונית. מומלץ לסקור את השלבים המפורטים בסעיף "שלבים ידניים להסרת הווירוס Win32/Conficker" במאמר זה כדי לנקות את כל ההשפעות של התוכנה הזדונית.

שחזור

הפעל את Microsoft Safety Scanner.

Microsoft Malware Protection Center עדכן את Microsoft Safety Scanner. זהו קובץ הפעלה עצמאי המשמש להסרת תוכנה זדונית שכיחה, והוא יכול לסייע בהסרת משפחת התוכנות הזדוניות Win32/Conficker.

הערה Microsoft Safety Scanner לא מונע הידבקות מחדש מאחר שהוא לא פועל כתוכנית אנטי-וירוס בזמן אמת.

ניתן להוריד את Microsoft Safety Scanner מאתר האינטרנט הבא של Microsoft:
http://www.microsoft.com/security/scanner/en-us/default.aspx

הערה הכלי Stand-Alone System Sweeper יכול אף הוא להסיר את הווירוס. הכלי זמין כרכיב של Microsoft Desktop Optimization Pack 6.0 או דרך שירות הלקוחות והתמיכה. כדי לקבל את Microsoft Desktop Optimization Pack, בקר באתר האינטרנט הבא של Microsoft:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
אם Microsoft Security Essentials או Microsoft Forefront Client Security פועל במערכת, תוכניות אלה חוסמות גם הן את האיום לפני התקנתו.

שלבים ידניים להסרת הווירוס Win32/Conficker

הערות
  • שלבים ידניים אלה אינה דרושים עוד ויש להשתמש בהם רק אם אין לך תוכנת אנטי-וירוס להסרת הווירוס Conficker.
  • בהתאם לגירסת Win32/Conficker שבה המחשב שלך נגוע, ייתכן שחלק מהערכים המוזכרים בסעיף זה לא השתנו על-ידי הווירוס.
השלבים המפורטים להלן יכולים לסייע לך להסיר באופן ידני את Conficker מהמערכת:
  1. היכנס למערכת באמצעות חשבון מקומי.

    חשוב אל תיכנס למערכת באמצעות חשבון תחום, אם הדבר אפשרי. במיוחד, אל תיכנס למערכת באמצעות חשבון מנהל תחום. התוכנה הזדונית מתחזה למשתמש המחובר וניגשת למשאבי רשת באמצעות אישורי המשתמש המחובר. התנהגות זו מאפשרת לתוכנה הזדונית להתפשט.
  2. עצור את שירות Server. פעולה זו מסירה את הפריטים המשותפים של המנהל מהמערכת כדי שהתוכנה הזדונית לא תוכל להתפשט באמצעות שיטה זו.

    הערה יש להשבית את שירות Server באופן זמני בלבד בעת ניקוי התוכנה הזדונית בסביבה שלך. הדבר נכון במיוחד בשרתי ייצור מכיוון שצעד זה ישפיע על זמינות משאבי מערכת. מיד עם ניקוי הסביבה, ניתן להפעיל מחדש את שירות Server.

    כדי לעצור את שירות השרת, השתמש ב- Services Microsoft Management Console (MMC). לשם כך, בצע את השלבים הבאים:
    1. בהתאם למערכת שלך, בצע את הפעולות הבאות:
      • ב- Windows Vista וב- Windows Server 2008, לחץ על הפעלה, הקלד services.msc בתיבה התחל חיפוש ולאחר מכן לחץ על services.msc ברשימת התוכניות.
      • ב-Windows 2000, Windows XP, ו- Windows Server 2003, לחץ על התחל, לחץ על הפעלה, הקלד services.msc ולאחר מכן לחץ על אישור.
    2. לחץ פעמיים על Server.
    3. לחץ על הפסק.
    4. בחר מושבת בתיבה סוג הפעלה.
    5. לחץ על החל.
  3. הסר את כל המשימות המתוזמנות שנוצרו באמצעות AT. לשם, כך, הקלד AT /Delete /Yes בשורת הפקודה.
  4. עצור את שירות "מתזמן המשימות".
    • כדי להפסיק את שירות "מתזמן המשימות" ב- Windows 2000, Windows XP ו- Windows Server 2003, השתמש ב- (MMC)Services Microsoft Management Console או בתוכנית השירות SC.exe.
    • כדי להפסיק את שירות "מתזמן המשימות" ב- Windows Vista או ב- Windows Server 2008, בצע את הצעדים הבאים.

      חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. למידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
      322756 כיצד לגבות ולשחזר את הרישום ב- Windows
      1. לחץ על התחל, הקלד regedit בתיבה התחל חיפוש ולאחר מכן לחץ על regedit.exe ברשימהתוכניות.
      2. אתר את מפתח המשנה הבא של מערכת הרישום ולחץ עליו:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. בחלונית הפרטים, לחץ באמצעות לחצן העכבר הימני על הערך התחל DWORD ולאחר מכן לחץ על שנה.
      4. בתיבה נתוני ערך, הקלד 4 ולאחר מכן לחץ על אישור.
      5. צא מ'עורך הרישום' והפעל את המחשב מחדש.

        הערה יש להשבית את שירות מתזמן המשימות באופן זמני בלבד בעת ניקוי התוכנה הזדונית בסביבה שלך. הדבר חלק במיוחד על Windows Vista ועל Windows Server 2008 מאחר ששלב זה ישפיע על משימות מתוזמנות מוכללות שונות. מיד עם ניקוי הסביבה, הפעל מחדש את שירות Server.
  5. הורד והתקן את עדכון אבטחה 958644 (MS08-067) באופן ידני. לפרטים נוספים, בקר באתר האינטרנט של Microsoft שכתובתו:
    http://technet.microsoft.com/en-us/security/bulletin/ms08-067
    הערה ייתכן שאתר זה ייחסם בשל הווירוס מהתוכנה הזדונית. בתרחיש זה, עליך להוריד ולעדכן ממחשב שאינו נגוע ולאחר מכן להעביר את קובץ העדכון למערכת הנגועה. מומלץ לצרוב את העדכון בתקליטור מכיוון שהתקליטור הצרוב אינו ניתן לכתיבה. לכן, אין לו אפשרות להידבק. אם כונן תקליטורים לצריבה אינו זמין, ייתכן שהתקן זיכרון מסוג USB יהיה הדרך היחידה להעתיק ולעדכן את המערכת הנגועה. אם אתה משתמש בהתקן נשלף, זכור שהתוכנה הזדונית עלולה לפגוע בכונן באמצעות קובץ Autorun.inf. לאחר שתעתיק את העדכון לכונן הנשלף, הקפד להעביר את הכונן למצב קריאה בלבד, אם אפשרות זו זמינה עבור ההתקן שלך. אם מצב 'קריאה בלבד' זמין, הוא בדרך כלל מופעל באמצעות מתג פיזי על-גבי ההתקן. לאחר מכן, לאחר שתעתיק ותעדכן את הקובץ במחשב הנגוע, בדוק את הכונן הנשלף כדי לראות אם קובץ Autorun.inf נכתב בהתקן. אם כן, שנה את שם הקובץ Autorun.inf לשם אחר כדוגמת Autorun.bad כדי שהוא לא יוכל לפעול כאשר הכונן הנשלף מחובר למחשב.
  6. אפס סיסמאות של מנהל מקומי ושל מנהל תחום כדי להשתמש בסיסמה חדשה חזקה. לפרטים נוספים, בקר באתר האינטרנט של Microsoft שכתובתו:
    http://technet.microsoft.com/he-il/library/cc875814.aspx
  7. בעורך הרישום, אתר את מפתח המשנה הבא של הרישום ולאחר מכן לחץ עליו:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. בחלונית הפרטים, לחץ באמצעות לחצן העכבר הימני על הערך netsvcs ולאחר מכן לחץ על שנה.
  9. אם המחשב נגוע בווירוס Win32/Conficker, ברשימה יופיע שם שירות אקראי.

    הערהעבור Win32/Conficker.B, שם השירות כלל אותיות אקראיות והופיע בתחתית הרשימה. בגירסאות המאוחרות יותר, שם השירות יכול להופיע בכל מקום ברשימה והוא נראה אמיתי יותר. אם שם השירות האקראי לא מופיע בתחתית הרשימה, השווה את המערכת ל"טבלת השירותים" בהליך זה כדי לקבוע איזה שם שירות נוסף על-ידי Win32/Conficker. כדי לבדוק זאת, השווה את הרשימה ב"טבלת השירותים" למערכת דומה שידוע כי אינה נגועה.

    שים לב לשם שירות התוכנה הזדונית. תזדקק למידע זה בהמשך פרוצדורה זו.
  10. מחק את השורה המכילה את ההפניה לשירות התוכנה הזדונית. ודא שהשארת שורת הזנה ריקה מתחת לערך החוקי האחרון המופיע ברשימה ולאחר מכן לחץ על אישור.

    הערות על טבלת השירותים
    • כל הערכים בטבלת השירותים הם ערכים חוקיים, למעט הפריטים המסומנים בגופן מודגש.
    • הפריטים המסומנים בגופן מודגש הם דוגמאות לפריטים שנוספו על-ידי Win32/Conficker לערך netsvcs במפתח הרישום SVCHOST.
    • ייתכן שרשימת שירותים זו אינה מלאה, תלוי בשירותים המותקנים במערכת.
    • טבלת השירותים מייצגת התקנת ברירת מחדל של Windows.
    • הערך שהווירוס Win32/Conficker מוסיף לרשימה משתמש בשיטת בלבול. הערך הזדוני המסומן אמור ליצור רושם שהאות הראשונה היא אות "L" קטנה. עם זאת, בפועל זוהי אות "I" רישית. בגלל הגופן שנמצא בשימוש במערכת ההפעלה, "I" רישית נראית כמו "L" קטנה.

    טבלת שירותים

    כווץ את הטבלההרחב את הטבלה
    Windows Server 2008 Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ערכות נושאערכות נושאBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvתזמוןRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessתזמון
    wuauservwuauservערכות נושאSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiערכות נושא
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. בפרוצדורה קודמת הבחנת בשם שירות התוכנה הזדונית. בדוגמה שלנו, שם הערך הזדוני היה "Iaslogon". תוך שימוש במידע זה, בצע את הפעולות הבאות:
    1. בעורך הרישום, אתר את מפתח המשנה הבא של הרישום ולחץ עליו, כאשר שם שירות התוכנה הזדונית הוא BadServiceName:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      לדוגמה, אתר את מפתח המשנה הבא ברישום ולחץ עליו:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. לחץ באמצעות לחצן העכבר הימני על מפתח המשנה בחלונית הניווט עבור שם שירות התוכנה הזדונית ולאחר מכן לחץ על הרשאות.
    3. בתיבת הדו-שיח ערך הרשאות עבור SvcHost, לחץ על מתקדם.
    4. בתיבת הדו-שיח הגדרות אבטחה מתקדמות,לחץ כדי לבחור בשתי תיבות הסימון הבאות:
      קבל מאובייקט אב את ערכי ההרשאות החלים על אובייקטי צאצא. כלול ערכים אלה יחד עם הערכים המוגדרים במפורש כאן.

      החלף ערכי הרשאות בכל אובייקטי הצאצא בערכים המוצגים כאן החלים על אובייקטי צאצא.
  12. הקש F5 כדי לעדכן את עורך הרישום. בחלונית הפרטים, באפשרותך כעת לראות ולערוך את ה- DLL של התוכנה הזדונית הנטען כ- "ServiceDll". לשם כך, בצע את השלבים הבאים:
    1. לחץ פעמיים על הערך ServiceDll.
    2. שים לב לנתיב ההפניה של ה- DLL. תזדקק למידע זה בהמשך פרוצדורה זו. לדוגמה, נתיב ההפניה של ה- DLL עשוי להיראות כך:
       %SystemRoot%\System32\doieuln.dll
      שנה את שם ההפניה באופן שהיא תיראה כך:
       %SystemRoot%\System32\doieuln.old
    3. לחץ על אישור.
  13. הסר את ערך שירות התוכנה הזדונית ממפתח המשנה הפעלה ברישום.
    1. בעורך הרישום, אתר את מפתחות המשנה הבאים של הרישום ולאחר מכן לחץ עליהם:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. בשני מפתחות המשנה, אתר את הערך המתחיל ב- "rundll32.exe" ומפנה גם אל ה- DLL של התוכנה הזדונית הנטען כ- "ServiceDll" שזיהית בשלב 12b. מחק את הערך.
    3. צא מ'עורך הרישום' והפעל את המחשב מחדש.
  14. חפש קבצים מסוג Autorun.inf בכל כונני המערכת. השתמש ב'פנקס רשימות' כדי לפתוח כל קובץ ולאחר מכן ודא שהוא קובץ Autorun.inf תקין. להלן דוגמה של קובץ חוקי אופייני מסוג Autorun.inf.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    קובץ חוקי מסוג Autorun.inf שוקל בדרך כלל בין 1 ל- 2 קילו-בתים (KB).
  15. מחק את כל הקבצים מסוג Autorun.inf שאינם נראים חוקיים.
  16. הפעל מחדש את המחשב.
  17. גלה קבצים מוסתרים. לשם כך, הקלד את הפקודה הבאה בשורת הפקודה:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. הגדר הצג קבצים ותיקיות מוסתרים, לחץ על כדי שתוכל לראות את הקובץ. לשם כך, בצע את השלבים הבאים:
    1. בשלב 12b, הבחנת בנתיב ההפניה של קובץ ה- .dll עבור התוכנה הזדונית. לדוגמה, ציינת נתיב שדומה לנתיב הבא:
      %systemroot%\System32\doieuln.dll
      בסייר Windows, פתח את הספריה %systemroot%\System32 או את הספריה שמכילה את התוכנה הזדונית.
    2. לחץ על כלים ולאחר מכן לחץ על אפשרויות תיקייה.
    3. לחץ על הכרטיסיה תצוגה.
    4. בחר בתיבת הסימון הצג קבצים ותיקיות מוסתרים.
    5. לחץ על אישור.
  19. בחר את קובץ ה- .dll.
  20. ערוך את ההרשאות בקובץ כדי להוסיף שליטה מלאה לכולם. לשם כך, בצע את השלבים הבאים:
    1. לחץ על קובץ ה- .dll באמצעות לחצן העכבר הימני ולאחר מכן לחץ על מאפיינים.
    2. לחץ על הכרטיסיה אבטחה.
    3. לחץ על כולם ולאחר מכן לחץ כדי לבחור את תיבת הסימון שליטה מלאה בעמודהאפשר.
    4. לחץ על אישור.
  21. מחק את ההפניה לקובץ .dll עבור התוכנה הזדונית. לדוגמה, מחק את הקובץ %systemroot%\System32\doieuln.dll.
  22. אפשר את ה- BITS, עדכונים אוטומטיים, דיווח על שגיאות ושירותי Windows Defender באמצעות Services Microsoft Management Console (MMC).
  23. השבת את ההפעלה האוטומטית כדי לצמצם את ההשפעה של כל הידבקות נוספת. לשם כך, בצע את השלבים הבאים:
    1. בהתאם למערכת שלך, התקן אחד מהעדכונים הבאים:
      • אם במחשב שלך פועל Windows 2000, Windows XP, או Windows Server 2003, התקן את העדכון 967715. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציג את המאמר במאגר הידע Microsoft Knowledge Base:
        967715 כיצד להפוך את פונקציונליות ההפעלה האוטומטית ללא זמינה ב-Windows (ייתכן שקישור זה מפנה לתוכן שחלקו או כולו מופיע באנגלית)
      • אם במחשב שלך פועל Windows Vista או Windows Server 2008, התקן את עדכון אבטחה 950582. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציג את המאמר במאגר הידע Microsoft Knowledge Base:
        950582 MS08-038: פגיעות בסייר Windows עלולה לאפשר ביצוע קוד מרחוק
      הערה עדכון 95325 ועדכון אבטחה 950582 אינם קשורים לבעיה זו של תוכנה זדונית. עדכונים אלה חייבים להיות מותקנים כדי לאפשר את פונקציית הרישום בשלב 23b.
    2. הקלד את הפקודה הבאה בשורת פקודה:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. אם המערכת מפעילה Windows Defender, אפשר מחדש את מיקום ההפעלה האוטומטית של Windows Defender. לשם כך, הקלד את הפקודה הבאה בשורת הפקודה:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. עבור Windows Vista ומערכות הפעלה מתקדמות יותר, התוכנה הזדונית משנה את ההגדרה הגלובלית עבור TCP Receive Window Auto-tuning להיות מושבת. לשינוי הגדרה זו בחזרה, הקלד את הפקודה הבאה בשורת פקודה:
    netsh interface tcp set global autotuninglevel=disabled
אם, לאחר שהשלמת פרוצדורה זו, המחשב נראה נגוע שוב, אחד המצבים הבאים עלול להתקיים:
  • אחד מהמיקומים של הפעלה אוטומטית לא הוסר. לדוגמה, ה- AT job לא הוסר או שקובץ Autorun.inf לא הוסר.
  • עדכון האבטחה עבור MS08-067 לא הותקן כראוי.
תוכנה זדונית זו עלולה לשנות הגדרות אחרות שאינן מטופלות במסגרת מאמר זה. לקבלת פרטים עדכניים על Win32/Conficker, בקר בדף האינטרנט הבא של Microsoft Malware Protection Center:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

ודא שהמערכת נקייה

ודא שהשירותים הבאים פועלים:
  • עדכונים אוטומטיים (wuauserv)
  • (Background Intelligent Transfer Service (BITS
  • Windows Defender (windefend) (אם זמין)
  • דיווח שגיאות של Windows
לשם כך, הקלד את הפקודות הבאות בשורת הפקודה. הקש על ENTER לאחר כל פקודה:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

לאחר הפעלת כל אחת מהפקודות, תקבל הודעה הדומה להודעה הבאה:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
בדוגמה זו, "STATE : 4 RUNNING" מציין שהשירות פועל.

כדי לאמת את מצב מפתח המשנה של הרישום SvcHost, בצע את הפעולות הבאות:
  1. בעורך הרישום, אתר את מפתח המשנה הבא של הרישום ולאחר מכן לחץ עליו:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. בחלונית הפרטים, לחץ פעמיים על netsvcs ולאחר מכן בדוק את שמות השירותים המפורטים. גלול מטה לתחתית הרשימה אם המחשב נגוע שוב בתולעת Conficker, ברשימה יופיע שם שירות אקראי. לדוגמה, בפרוצדורה זו, שם שירות התוכנה הזדונית הוא "Iaslogon".
אם צעדים אלה אינם פותרים את הבעיה, פנה ליצרן של תוכנת האנטי-וירוס. לקבלת מידע נוסף בנושא זה, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
49500 רשימה של ספקי תוכנות אנטי-וירוס (ייתכו שטקסט זה מוצג באנגלית)
אם אין לך ספק של תוכנת אנטי-וירוס, או שספק תוכנת האנטי-וירוס שלך אינו עוזר, פנה אל שירותי תמיכת הלקוחות של Microsoft לקבלת עזרה נוספת.

לאחר שהסביבה נוקתה לחלוטין

לאחר שהסביבה נוקתה לחלוטין, בצע את הפעולות הבאות:
  1. הפעל מחדש את שירות השרת ואת שירות מתזמן המשימות.
  2. אחסן את הרשאות ברירת המחדל במפתח הרישום SVCHOST ובתיקיית המשימות. פעולה זו תחזיר את הגדרות ברירת המחדל באמצעות הגדרות המדיניות הקבוצתית. אם מדיניות הוסרה, ייתכן שלא תהיה אפשרות לשנות בחזרה להרשאות ברירת המחדל. לקבלת מידע נוסף, עיין בטבלה של הרשאות ברירת המחדל בסעיף "שלבים בהפחתת הסיכון".
  3. עדכן את המחשב על-ידי התקנת כל עדכוני האבטחה החסרים. לשם כך, השתמש ב- Windows Update, שרת Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) או במוצר של ספק חיצוני לניהול עדכונים. אם אתה משתמש ב- SMS או ב- Configuration Manager 2007, תחילה עליך להפעיל מחדש את שירות Server. אחרת, ייתכן ש- SMS או Configuration Manager 2007 לא יוכלו לעדכן את המערכת.

זיהוי מערכות נגועות

אם אתה נתקל בבעיה בזיהוי מערכת הנגועות ב- Conficker, הפרטים הכלולים בבלוג הבא של TechNet עשויים לסייע לך:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

טבלת הרשאות ברירת מחדל

הטבלה שלהלן מציגה את הרשאות ברירת המחדל עבור כל מערכת הפעלה. הרשאות אלה מוגדרות לפני החלת השינויים שעליהם אנו ממליצים במאמר זה. הרשאות אלה עשויות להיות שונות מההרשאות המוגדרות בסביבה שלך. לכן, עליך לרשום את ההגדרות שלך לפני שתבצע שינויים כלשהם. עשה זאת כדי שתוכל לשחזר את ההגדרות לאחר שתנקה את המערכת.
כווץ את הטבלההרחב את הטבלה
מערכת הפעלה Windows Server 2008Windows VistaWindows Server 2003 Windows XP Windows 2000
הגדרהרישום Svchostתיקיית משימותרישום Svchostתיקיית משימותרישום Svchostתיקיית משימותרישום Svchostתיקיית משימותרישום Svchostתיקיית משימות
חשבון
מנהלי מערכת (קבוצה מקומית)שליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאה
Systemשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאהשליטה מלאה
משתמשים מתקדמים (קבוצה מקומית)לא ישיםלא ישיםלא ישיםלא ישיםקריאהלא ישיםקריאהלא ישיםקריאהלא ישים
משתמשים (קבוצה מקומית)מיוחד לא ישיםמיוחדלא ישיםקריאהלא ישיםקריאהלא ישיםקריאהלא ישים
חל על: מפתח זה ומפתחות המשנהחל על: מפתח זה ומפתחות המשנה
ביצוע שאילתה לערךביצוע שאילתה לערך
ספירת מפתחות משנהספירת מפתחות משנה
הודעההודעה
בקרת קריאהבקרת קריאה
משתמשים מאומתיםלא ישיםמיוחדלא ישיםמיוחדלא ישיםלא ישיםלא ישיםלא ישיםלא ישיםלא ישים
חל על: תיקיה זו בלבדחל על: תיקיה זו בלבד
העברת תיקיההעברת תיקיה
פירוט תיקיותפירוט תיקיות
קריאת תכונותקריאת תכונות
קריאת תכונות מורחבותקריאת תכונות מורחבות
יצירת קבציםיצירת קבצים
קריאת הרשאותהרשאות קריאה
Backup Operators (קבוצה מקומית)לא ישיםלא ישיםלא ישיםלא ישיםלא ישיםמיוחדלא ישיםמיוחד
חל על: תיקיה זו בלבדחל על: תיקיה זו בלבד
העברת תיקיההעברת תיקיה
פירוט תיקיותפירוט תיקיות
קריאת תכונותקריאת תכונות
קריאת תכונות מורחבותקריאת תכונות מורחבות
יצירת קבציםיצירת קבצים
הרשאות קריאההרשאות קריאה
כולםלא ישיםלא ישיםלא ישיםלא ישיםלא ישיםלא ישיםלא ישיםלא ישיםלא ישיםמיוחד
חל על: תיקיה זו, תיקיית משנה וקבצים
העברת תיקיה
פירוט תיקיות
קריאת תכונות
קריאת תכונות מורחבות
יצירת קבצים
יצירת תיקיות
כתיבת תכונות
כתיבת תכונות מורחבות
הרשאות קריאה

עזרה נוספת

  לקבלת עזרה נוספת בבעיה זו, אם אתה נמצא בארצות הברית, תוכל לשוחח עם נציג ב- Answer Desk: 
Answer Desk
הערה זהו מאמר "פרסום מהיר" שנוצר ישירות מתוך ארגון התמיכה של Microsoft. המידע הכלול במסמך זה מסופק כפי שהוא בתגובה לבעיות שצצות. לאור הקצב המהיר של פרסום החומרים, ייתכן שהחומרים יכללו שגיאות הקלדה ואנו עשויים לתקן אותם בכל עת, ללא הודעה מוקדמת. למידע על שיקולים אחרים, עיין בתנאי השימוש.

מאפיינים

Article ID: 962007 - Last Review: יום שלישי 15 ינואר 2013 - Revision: 1.0
המידע במאמר זה חל על:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1, הפועל עם:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1, הפועל עם:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2, הפועל עם:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2, הפועל עם:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3, הפועל עם:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4, הפועל עם:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
מילות מפתח 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com