Win32/Conficker ???? ?? ???? ??? ????? ???????

???? ?????? ???? ??????
???? ID: 962007 - ?? ???????? ?? ?????? ??? ?? ?? ???? ???? ???? ??.
??? ?? ??????? ???? | ??? ?? ??????? ????

?? ????? ??

??????

?? ???????? ???? ??? ?? ?? ??????? ?? ?????? ?????????? ?? ???? ??? ????? ?? ??????????? ?? ???? ??? ?? ???? ??? ?????????? ???????? ?? ??? ?????? ??? ??? ???? ????????? ????????? ?? ??? ????? ?? ??? ?? ?? ??? ???? ?????? ???? ??? ?? ?????? ???, ?? ?? ???? ?? ????? ???? ?? ??? ??? ???? ??? ?????? ???? ?? ?????? ?? ????? Conficker ????? ?? ??, ?? ??? ????? ??? ??? ?? ??? ?????? ????? ????:
HTTP://safety.Live.com
Conficker ????? ?? ???? ??? ??????? ??????? ?? ??? ????? Microsoft ??? ??? ?? ????:
HTTP://www.Microsoft.com/Security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

??????? ?? ?????

??? ???? ???????? ?? ?? ???? ?? ???????? ??, ?? ???? ???? ???? ?? ????? ?? ????? ?? ???? ??, ?? ?? ????? ??????? ??? ?? ??? ?? ????? ?? ???? ??:
  • ???? lockout ??????? tripped ?? ?? ??? ????
  • ????: ??????, ?????????? ?????????? ????????? ?????? (BITS), Windows ???????? ?? ?????? ?????????? ???? ????? ????
  • ??????? ?? ?????? ?? ??? ????? ???????? ???? ?????????
  • ??????? congested ???
  • ??????? ???????-??????? ??? ???? ??? ?????? ???? ???? ?? ?????
  • ???????-?????? ??????? ??????? ?? ??? ???? ?????? ????? ??????? ?? ?? ???? ?? ??? ????? Microsoft ??? ??? ?? ????, ?? ???? ??? ????? ???????????? :??? Win32/Conficker.D ?? ???? ??? ??????? ?? ??? ??? ???? ??????? ?? ???, ????? Microsoft ??? ????? ?? ????::
    HTTP://www.Microsoft.com/Security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Win32/Conficker ?? ???? ??? ???? ??????? ?? ??? ????? Microsoft ??????? ??????? ?????? ??? ??? ?? ????:
HTTP://www.Microsoft.com/Security/portal/Entry.aspx?Name=Win32/Conficker

??????? ???????

Win32/Conficker ??? ?? ?? ???? ?????????? ??????? ???? ?? ??? ????? ????? ???:
  • ???????????? ?? ??????? ?????? patched ?? exploitation 958644 (MS08-067) ?????? ????
  • ??????? ???? ?? ?????
  • ??????? ??????????? ?? ?????
?????, ?? ???? careful ?? ?? ????? ??????? ?? ???? ???? ?? ?? ?? ???????? ?? ????? reintroduced ???? ???

???:Win32/Conficker.D variant ???? ???? ????? ???????? ?? ??? ????? ???? ?? ?? ???? ??????? ?? ????????? ???? ????? Win32/Conficker.D Win32/Conficker ?? ????? variants ?????? ??????? ???? ??? ???

????

  • ??? ?????????? ?? ??? ????? ??? ????? ?????????? ??????? ?? ????? ?????
  • ??? ?? ???? ???? ?? ??? ???????? ????? ?????????? ??????????? ?? ??? ?????????? ?? ????? ?? ??????????? ?? ????? ?????
  • ?? ????????? ???? ?? ??? ?????? ?? ??? ?????? ??????? ???????? ?? ???? ?? ?? ???
  • ??????? ???????? ?? ????? ????? ???? ??????? ?? ???, ??? 3 ?? "????? ?? ???? ???? ????????" ??? ??????
  • ???? ???? ?? ??? ??????? ?????? ???????? ?? ??? ?? ???? ?? ??? ?? ??? ???? ????????? ??? ????? ???

Mitigation ???

???? ???? ???????? ?? ????? ???? spreading ?? Win32/Conficker ?? ?????

???
  • ??????????????????? ???? ?? ???? ???????? ???? ?? ??????? ???????? ??? ?? ??? ?? ???????? ?????? ??? ?? ?? ???? ??? ?????
  • ?? ????????? ?? ?????? Conficker ??????? ??????? ????? ?? ????????? ???? ??????? ?? ????? ??? ????? ?????? ?? Conficker ??????? ?? ??????? ?? ??? ???? ??? ????????? ?????? ?? ????? ???? ?????? ??, ??? ??? ????? ?? ???? ???? "Win32/Conficker ????? ?? ??????? ?? ??? ???????? ???"??????? ?? ???????? ??? ?? ?????? ?? ??????? ?? ??? ?? ????? ??? ???? ?? ????
  • ?? ??? ?? ??????? ???? ?? ??? ?????????, ?????? ??? ?? ???? ?????? ?? ????? ????? ????? ??? ???????? ?????? ???????? ????? ??? ??? ?????? ?? ???? ??? ?? ????? ???, ????? ???? ?? ????? ??, ???? ?????? Windows ??????, Microsoft Windows ????? ?????? ?????? (WSUS) ?? ?????, ?? ?????? ?????? ??????????? ??????? (??????????? ??????? 2007), ?? ????? ???? ????: ?????? ?? ??? ?? ?????? ?? ???????? ?? ??? ???? ????????? ???? ?? ???? ????????? ????? ??????? ???????? ?? ???? ?????? ?? ????? ???? ?? ????
  • ???????? ????????? SVCHOST ????????? ????? ?? ????? ?????? ?? ??? "????? ?? ???? ???? ????????" ??? ??? ????? ??? ?? ???? ?? ???? ??? ??????? ?? ??? ????????????? ????????? ???????? ?? ???? ?? ????

?? ???? ???? ???????? ?????

??? ??? ???? ???? ???????? (GPO) ??? ??????? ?????????? ???? (OU), ????, ?? ???? ??????? ??? ?????? ?? ??? ???, ????? ??? ??? ?????????? ?? ???? ???? ?? ?? ??????

??? ???? ?? ???, ????? ????? ?? ???? ????::
  1. ????? ????????? ??????? ?? ??? ???? ????????? ??????? ?? ??? ???? ??? ????:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    ?? ????? ??? ?? ???????? ??????? ???? netsvcs ????????? ??? ??? ???? ???? ?? ????? ???

    ??? ???? ?? ???, ????? ????? ?? ???? ????::
    1. ???? ???? ??????? ????? (GPMC) ?? ??????
    2. ??? ??? GPO ?????? ??? ?? ????? ??? ?? ???? ?? ??? ????
    3. ??? GPO ?????, ?? ???? ??? ????? ??????? ??? ?? ????:
      ???????? Configuration\Windows Settings\Security Settings\Registry
    4. ????-????? ??????????????? ????-????? ????, ?? ???? ???????? ?? ?????.
    5. ?????????????? ????? ?? ??? ????????? ????? ???, ??????? ????????, ?? ???? ??? ????? ??????? ??? ?? ????:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. ????? ????,OK.
    7. ????? ????? ????? ?? ??, ????? ???? ???? ???? ?? ??????? ????????????? ?? ??? ??? ???????????????, ????????.
    8. ????? ????,OK.
    9. ????????????? ?? ??????????? ????? ???, ????? ??????? ?????????? ?? ?????? ????????? ??????? ???? ????? ????????? ?? ???????????? ????.
    10. ????? ????,OK.
  2. %Windir%\Tasks ??????? ?? ???? ????????? ??????? ?? ??? ???? ??? ????? ?? Conficker ??????? ????????? ????? ?????? reinfect ?? ???? ??? ?? ????? ?? ????? ???

    ??? ???? ?? ???, ????? ????? ?? ???? ????::
    1. ?? ?? GPO ????? ??????? ??? ???? ?? ??, ?? ????? ??????? ??? ?? ????:
      ???????? Configuration\Windows Settings\Security Settings\File ??????
    2. ????-????? ????????? ???????? ????-????? ????, ?? ???? ???????? ??????.
    3. ????????? ???? ?? ?????? ?????????? ????? ???, %windir%\Tasks ??????? ?? ??? ?????? ????? ????????? ???? ?? ?????????????? ?? ??? ???????? ?????????????? ????? ?? ??????? ?? ??? ?? ..
    4. ????? ????,OK.
    5. ????? ????? ????? ?? ??, ????? ?? ??? ?????????? ?? ???? ???? ?? ??????? ????????,??????? ????, ??????????? ?? ?????????????, ????????.
    6. ????? ????,OK.
    7. ????????????? ?? ??????????? ????? ???, ????? ??????? ?????????? ?? ?????? ????????? ??????? ???? ????? ????????? ?? ???????????? ????.
    8. ????? ????,OK.
  3. ??????? (????????) ???????? ?? ????? ???? ?? ??? ??? ????? ?? Windows ??? ????? ??????? ???????? ?? ????? ???? spreading ?? Conficker ??????? ???? ???

    ???:???? ?????? ????? ??? ?? ??? Windows ?? ??????? ?? ???? ?? ????? ?????? ??? ?? ???? ???????? ??????????? ?? ??? ??? ?? ????? ???? ?? ??? ??????? ???? ???? ?????:
    • Windows Vista ?? Windows Server 2008 ??? ???????? ??????????? ?? ????? ???? ?? ??? ?????? ???? ??????? ??????950582??????? (??????? ??????? MS08-038 ??? ????? ???? ???)?
    • Windows XP ???, Windows Server 2003 ???, ?? Windows 2000 ??? ???????? ??????????? ?? ????? ???? ?? ??? ?????? ???? ??????? ?????? ????950582??????967715, ?? ?????? ????953252??????? ?????
    ??????? (????????) ???????? ?? ????? ???? ?? ??? ??? ????, ????? ????? ?? ???? ????:
    1. ?? ?? GPO ????? ??????? ??? ???? ?? ??, ?? ????? ????????? ??? ?? ???? ?? ?? ?? ????:
      • Windows Server 2003 ??? ????? ?? ??? ????? ??????? ??? ?? ????:
        ???????? Configuration\Administrative Templates\System
      • Windows 2008 ??? ????? ?? ??? ????? ??????? ??? ?? ????:
        ???????? Configuration\Administrative Templates\Windows Components\Autoplay ???????
    2. ???????????? ??? ???????? ???
    3. ???????????? ??? ????????? ????? ???, ????? ????????? ???? ???.
    4. ?????-???? ???? ????? ??????? ????????.
    5. ????? ????,OK.
  4. ???? ???? ??????? ????? ??? ?????
  5. ?? ???? ?? GPO ?? ???? ???? ?? ??? ?? ????? ??? ?? ????? ?? ???? ?????
  6. ??? ?????????? ?? ??? ?????? ???? ?? ??? ???? ???? ?????? ?? ??? ???????? ??? ?? ??? ?????? ???? ??????????, ???? ???? ????????? ???? ???????? ????? ???????? ?? ??? ????? ?? ??????? ?? ??? ???? ????, ?? ???? ??? 90 ???? ???????? ??? ?? ??? ??? ?? ????? ?? ??????? ?? ???? ?? couple ???? ???????? ???? ?????? ???????, ???? ??? ??????, ?????? ?? ???? ?? ?? ???? ???
  7. ???? ???? ?????? ?? ????????? ??, ?? ??? ??????? ?? ?????? ?? ??????

    ??? ???? ?? ???, ????? ????? ?? ???? ????::
    1. ??? ???????? ?? ????????? ????? ????? ?? ??????
    2. ??? ???? ????????? ?????????? Conficker ?? ??? ???? ???, ??????? ?? ????? ???? ?? ??? ?????????????? ?????????? ??????? ????? (MSRT) ????? ?? ???? ???? ???? ??????? ?? ???, ????? Microsoft ??? ????? ?? ????::
      HTTP://www.Microsoft.com/Security/malwareremove/default.mspx
      ???:?? ??? ??????? ?? ??? ?????? ?? ??? ???? ?? ??? ???????? ????? ?? ???? ???? ??? ???? ??? ?? ??????? ???? ??? ?? ?? ??? ???????? ????? ?? ??????? ???? "Win32/Conficker ????? ?? ??????? ?? ??? ???????? ???"??????? ?? ??? ?????? ?? ??? ???? ?? ??? ?? ???? ?? ????

?????????????

?????????????? ?????????? ??????? ????? ?????

Microsoft ??????? ??????? ?????? ?? ?????????????? ?????????? ??????? ????? (MSRT) ?? ?????? ??? ??????-???? ?????? prevalent ?????????????? ?????????? ?? ?????? ???? ?? ??? ?????? ?? ?? ?? ??, ?? ??? Win32/Conficker ??????? ?????? ?? ??????? ??? ?? ???? ????

???:MSRT reinfection ?? ??? ???? ??????? ?? ????-???? ????????? ????????? ???? ???

?? MSRT ?? ?? ????? Microsoft ??? ?????? ?? ??????? ?? ???? ???:
http://www.update.microsoft.com
HTTP://support.Microsoft.com/KB/890830

???? ??????? ?? ??? ??????? ????????? ????? ?? ???? ??? MSRT ?? ???, Microsoft ???????? ??? ???? ????? ?? ??? ????? ???? ?????? ?? ????? ????:
891716Microsoft Windows ?????????????? ?????????? ??????? ????? ??? ???? ??????????? ?????? ?? ?????????
???:Stand-Alone ?????? Sweeper ????? ?? ?? ??????? ?? ????? ????? ?? ????? ?????? ???? ?? ?????? ?? ?????? ?? ?? Microsoft ???????? ????????????? ??? 6.0 ?? ??? ??? ?? ??? ??? ?????? ??? Microsoft ???????? ????????????? ??? ?? ??????? ???? ?? ??? ????? Microsoft ??? ???? ?? ????:
HTTP://www.Microsoft.com/Windows/enterprise/technologies/mdop.aspx
??? Microsoft ??????? ?????????? ?? Microsoft Forefront ??????? ??????? ?????? ?? ?? ??? ??, ?? ????????? ?? ????? ????? ???? ?? ???? ??????? ???

Win32/Conficker ????? ?? ??????? ?? ??? ???????? ???

???
  • ?? ???????? ????? ???? ?? ??? ?????? ??? ?? ???? ????? ???? ???? ????? ??? ???? ??? ??? ????????? ?????????? Conficker ????? ?? ??????? ?? ??? ???
  • Win32/Conficker variant ?? ???????? ?? ???????? ??, ?? ???? ?? ??? ???? ?? ??? ?? ?????? ??? ???????? ??? ?? ??? ?? ???? ?? ???? ??? ???? ??? ?? ????? ?? ???????
??????? ????? ??? Conficker ?? ???????? ??? ?? ?? ?????? ?? ????? ???? ??? ?? ???? ???:
  1. ?????? ?? ??? ??? ??????? ???? ????? ?? ??? ?? ?????

    ????????????? ?? ???? ?????? ?? ??? ??? ????? ???? ?? ????? ???? ??? ??? ?? ???? ??? ????? ??? ??, ??? ?? ???? ???? ????? ?????????? ???? ?? ????? ??? ??????? ??? ?? ?????????? impersonates ?? ?? ?????????? ?? ????????????? ??? ?? ????? ?? ??????? ???????? ?? ??????? ??? ?? ??????? ?? ????? ???????? ?? ??????? ?? ??? ?????? ???? ???
  2. ????? ???? ?? ??? ????? ?? ?????????? ???? ?? ??????? ?? ?????? ?? ?? ???? ?? ????? ???? ??????? ????? ???? ?? ?????

    ???:????? ???? ????? ???? ????? ???? ?? ???? ??????? ??? ?? ???? ??? ?? ???? ??????? ??? ??????? ????? ??? ?? ??????? ???? ?? ??????? ????? ?? ??????? ?? ??? ?? ??????? ?????? ?? ???????? ?? ???????? ?????? ???? ?? ??????? ?? ???? ??, ????? ???? re-enabled ?? ???? ????

    ????? ???? ?? ????? ?? ??? ???? Microsoft ??????? ????? (MMC) ?? ????? ????? ??? ???? ?? ???, ????? ????? ?? ???? ????::
    1. ???? ?????? ?? ???? ?? ????? ?????:
      • Windows Vista ?? Windows Server 2008 ???, ????? ?????????????????:services.msc???????? ??????? ????????? ???, ?? ???? ???services.msc???????????????????? ????
      • Windows 2000, Windows XP ?? Windows Server 2003, ??? ????? ???????????????? ????,???????????:services.msc?? ????-????? ????, ?? ???? ???OK.
    2. ???-????? ?????????.
    3. ????? ????,STOP:.
    4. ??? ??????????????????????? ??????????? ????
    5. ????? ????,???? ????.
  3. ??? ??-????? ??????? ??? ?? ??????? ?? ????? ???? ??? ???? ?? ??? ?????AT /Delete/???????? ????????? ???
  4. ????? ???????? ???? ??? ?????
    • Windows 2000, Windows XP ?? Windows Server 2003 ??? ????? ???????? ???? ?? ????? ?? ??? ???? Microsoft ??????? ????? (MMC) ?? SC.exe ?????? ?? ????? ?????
    • Windows Vista ?? Windows Server 2008 ??? ????? ???????? ???? ?? ????? ?? ??? ????? ????? ?? ???? ?????

      ???????????? ???, ????, ?? ????? ?? ????????? ?? ??????? ???? ?? ??? ????? ????? ??? ???? ???????, ??? ?? ????????? ?? ??? ??? ?? ??????? ???? ??? ?? ????? ???????? ??????? ?? ???? ???.. ?????, ????????? ???? ?? ?? ?? ????? ?? ??????????? ???? ???? ???.. ?????? ??????? ?? ???, ????????? ?? ??????? ???? ?? ???? ???? ??? ?? ???.. ???, ??? ??? ?????? ??????? ???? ?? ?? ?? ????????? ?? ???????????? ?? ???? ???.. ????????? ?? ??? ?? ???? ?? ???????????? ???? ?? ????? ?? ???? ??? ???? ??????? ?? ???, Microsoft ?????? ??? ??? ???? ????? ?? ??? ????? ???? ?????? ????? ????::
      322756??? ?? ???? ?? Windows ??? ????????? ?? ???????????? ???? ????
      1. ????? ????,?????????????:regedit???????? ??????? ????????? ???, ?? ???? ???Regedit.exe???????????????????? ????
      2. ????? ????????? ??????? ?? ????? ????? ????::
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. ????? ??? ??? ???? ????????????DWORD ????????? ?? ???? ?????????? ????.
      4. ???????? ????????? ???,4?? ????-????? ????, ?? ???? ???OK.
      5. ????????? ?????? ?? ???? ??????, ?? ???? ??? ???????? ?? ???????? ?????

        ???:????? ???????? ???? ????? ???? ????? ???? ?? ???? ??????? ??? ?? ???? ??? ?? ???? ??????? ??? ??????? ????? ??? ?? ??????? ???? ?? Windows Vista ?? Windows Server 2008 ?? ??????? ?? ??? ?? ??????? ?????????? ????????? ????? ?? ???????? ?????? ???? ?? ??????? ?? ???? ??, ?? ????? ???? ?? ???: ??????
  5. ??????? ?? ??????? ?????? 958644 (MS08-067) ?? ???????? ??? ?? ??????? ????? ???? ??????? ?? ???, Microsoft ?? ????? ??? ???? ?? ????::
    HTTP://www.Microsoft.com/technet/Security/Bulletin/MS08-067.mspx
    ???:??????? ??????? ?? ?? ???? ?? ?????????? ?? ?? ?? ???? ??? ?? ???????? ???, ???? ?????? uninfected ???????? ?? ?? ?????? ??????? ????, ?? ?? ???????? ?????? ?? ??? ?????? ????? ???????????? ?? ??????? ???? ??? ?? ?? ???? ?????? ???? ?? ??? ??? CD ??????? burned CD ???? ????? ???? ??? ?????, ??? ???? ???? ?? ???? ???????? ??? ??? ??? ??????? ???? ????? CD ?????? ?????? ???? ??, ???? ??????? ????? USB ?????? ?????? ???????? ?????? ?????? ????????? ????? ?? ??? ??????? ????? ?? ???? ??? ??? ?? ???? ???? ???? ????? ?????? ?? ????? ????, ????? ???? ?? ??????? ???? ???????? ?????? ?? Autorun.inf ????? ?? ??? ??? ???? ?? ??? ???? ???? ???? ????? ?????? ?? ??? ?????? ?????????, ????????? ???? ?? ?? ?? ?????? ?? ????? ' ????-??? ???, ??? ?? ?????? ???? ?????? ?? ??? ?????? ??? ??? ?? ??? ????-????? ?? ??? ?????? ??, ??? ?????????? ????? ?? ?????? ?? ???? ????? ????? ?? ????? ????? ???? ???, ?? ???????? ???????? ?? ??? ?????? ????? ?? ?????????, ?? ??? ???? ???? ???? ????? ?????? ?? ????? ?? ?? ???? ??? Autorun.inf ????? ?????? ?? ??? ???? ??? ??? ??? ?? ??, Autorun.inf ????? ?? ??? Autorun.bad ???? ??? ???? ?? ??? ???? ?? ???? ???????? ?? ?????? ???? ????? ?????? ???????? ?? ?? ???? ???
  6. ?? ?? ????? ??????? ?? ????? ???? ?? ??? ??? ??????? ?????????? ?? ????? ?????????? ??????? ????? ????? ???? ??????? ?? ???, Microsoft ?? ????? ??? ???? ?? ????::
    HTTP://TechNet.Microsoft.com/en-us/library/cc875814.aspx
  7. ????????? ?????? ???, ?? ?????? ?????, ?? ???? ??? ????? ????????? ??????? ?? ????? ????:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. ????? ??? ??? ???? ?????Netsvcs:????????? ?? ???? ?????????? ????.
  9. ???????? ?? Win32/Conficker ????? ?? ???????? ??, ??? ??? ????? ???? ??? ???????? ?????

    ???:Win32/Conficker.B, ?? ??? ???? ??? ????? ???? ?? ?? ???? ?? ???? ???? ??? ??? ??? variants ???? ??? ?? ???? ?? ???? ?? ?? ???? ??? ?? ???? ??? ???? ?????? ?? ???? ??? ??? ???? ????? ???? ?? ??? ???? ??, ?? ???? ??? ?? ???? ?? ????? ?? Win32/Conficker ?????? ????????? ???? ?? ??? ?? ????????? ??? "?????? ??????" ?? ??? ???? ?????? ?? ????? ????? ???? ????, ???? ??? "?????? ??????" ???? ???????? ?? ?? ??? ???? ???? ?? ?? ?? ???? ?????? ?? ??? ?? ????? ?????

    ??????? ???? ?? ??? ??? ????? ??? ??? ?? ????????? ??? ?? ??????? ?? ???????? ?????
  10. ??????? ???? ?? ?????? ??? ?????? ?? ??? ???? ????????? ???? ?? ??? ????? ?????? ????? ??? ????????? ?? ???????? ??, ?? ???? ??? ?? ??????? ???? ??????OK.

    ?????? ?????? ?? ???? ??? ???
    • ?????? ?????? ??? ??? ???????????? ?? ????? ????????????, ?? ????? ??? ??????? ??? ?? ?????? ?? ??? ?? ??? ?? ?? ????
    • ????? ??? ??????? ??? ?? ?????? ?? ???? Win32/Conficker ????? ???? ???? SVCHOST ????????? ????? ??? netsvcs ??? ?? ?????? ????
    • ?? ???? ?? ???? ?????? ?? ??????? ??, ?????? ?? ???? ???? ???? ?? ???? ???
    • Windows ?? ?? ??????? ??????? ?? ?????? ?????? ???
    • ????????? ?? ?? Win32/Conficker ????? ?? ???? ??? ????? ??, ?? obfuscation ????? ??? ??????? ??? ??, ?????????????? ????????? ???? ????? resemble supposed ?? ?? ?? ?? ??????? "L." ???????, ?? ?? ?????? ??? ?? ?????? "???." ????? ?? ???????? ?????? ?????? ????? ???? ???? ??, ?? ???? ?????? "???" seems ?? ??????? "L." ???? ?? ???

    ?????? ??????

    ?? ?????? ?? ??????? ?????? ?????? ?? ??????? ????
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000:
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ?????????????????????????:AudioSrvIprip
    CertPropSvcCertPropSvcCryptSvc???????:Irmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNla???????IpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstation???????
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrv???????Rasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccess???????
    wuauservwuauserv?????????Seclogon
    ??????????TrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32timeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmi?????????
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcWinmgmtW32time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfo?????Wmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrWinmgmt
    ???????:ProfSvcWmdmPmSNTermService
    WinmgmtEapHostxmlprovwuauserv
    SessionEnvWinmgmtAeLookupSvc?????
    ProfSvc???????helpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvc???????:xmlprov
    ???????hkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. ??? ????? ????????? ??? ???? ??????? ???? ?? ??? ??? ???? ??? ????? ?????? ??? ??????? ????????? ?? ??? ?? "Iaslogon." ?? ??????? ?? ????? ?? ??? ??, ????? ????? ?? ???? ????:
    1. ????????? ?????? ???, ?? ?????? ????? ?? ???? ???, ????? ????????? ??????? ?? ????? ???? ????BadServiceName??????? ???? ?? ??? ??:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      ?????? ?? ???, ?? ?????? ????? ?? ???? ??? ????? ????????? ??????? ?? ????? ????:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. ??????? ???? ??? ?? ??? ???????? ??? ??? ??????? ?? ????-????? ????, ?? ???? ????????????.
    3. ?????SvcHost ?? ??? ?????? ?????????????? ????? ???, ????? ?????????.
    4. ?????????? ??????? ????????????? ????? ???, ????? ??? ????? ?? ??? ???? ?? ??? ????? ????:
      Inherit ?? ?????? ?????? ????????????, ?? ?????? ?????????? ?? ???? ????? ?? ???? ?????? ??? ?? ????????? ???????????? ?? ??? ????? ???

      ??? ?????? ?????????? ?? ?????? ???????????? ?? ???? ????? ?? ?? ?????? ?????????? ?? ???? ???? ?? ???????????? ?? ???????????? ?????
  12. ????????? ?????? ?? ?????? ???? ?? ??? F5 ?????? ????? ??? ???, ?? ?? ???? ??? ?? ????? ?? ??????? ??????? DLL ??? "ServiceDll." ?? ??? ??? ???? ?? ??? ???? ?? ???, ????? ????? ?? ???? ????::
    1. ServiceDll ????????? ?? ???-????? ?????
    2. ???????? DLL ?? ?? ?? ??? ????? ??? ??? ?? ????????? ??? ?? ??????? ?? ???????? ????? ?????? ?? ???, ???????? DLL ?? ?? ????? resemble ?? ???? ??:
       %SystemRoot%\System32\doieuln.dll
      ????? resemble ?? ?????? ?? ??? ?????:
       %SystemRoot%\System32\doieuln.old
    3. ????? ????,OK.
  13. ?? ??????? ???? ????????? ?? ??????????????????? ?? ????????? ??? ???
    1. ????????? ?????? ???, ?? ?????? ?????, ?? ???? ??? ????? ????????? ?????????? ?? ????? ????:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. ????? ?????????? ??? ?? "rundll32.exe" ?? ???? ???? ?? ?? ?? ?? ??????? ?? ??? ??? "ServiceDll" ??? 12b ??? ?????? ?? ??? DLL ?? ?????? ??? ??? ???? ?? ????????? ?? ?????? ?????? ????????? ??????
    3. ????????? ?????? ?? ???? ??????, ?? ???? ??? ???????? ?? ???????? ?????
  14. ?????? ?? ???? ?? ?????? ?? Autorun.inf ??????? ?? ??? ???? ????? ???? ??? ?????? ?? ?? ??? ????? Autorun.inf ???? ??, ?? ???????? ????? ?? ????? ?? ??? ?????? ?? ????? ????? ???? ??????? ????? Autorun.inf ????? ?? ?? ?????? ????? ???
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    ??? ????? Autorun.inf 2 ??? 1 ???????? (KB) ?????????? ???
  15. ????? ???? ?????? ???? ??? Autorun.inf ??????? ?? ??????
  16. ???????? ?? ???????? ????..
  17. ???? ??? ?????? ???????? ?????? ??? ???? ?? ???, ????? ????????? ?? ????? ??????? ???? ????::
    reg.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f ??? ??????
  18. set???? ??? ?????? ?? ???????? ??????????? ?? ?? ???? ?? ??? ???? ???? ??? ???? ?? ???, ????? ????? ?? ???? ????::
    1. ??? 12b, ??? ???? ??????? ?? ??? ????????. dll ????? ?? ?? ??? ???? ??? ?????? ?? ???, ???? ????? ?? ???? ??? ?? ??? ???? ??:
      %SystemRoot%\System32\doieuln.dll
      Windows Explorer ???, %SystemRoot%\System32 ?????????? ?? ?????????? ??????? ??? ??????
    2. ????? ????,??????? ????-????? ????, ?? ???? ?????????? ??????.
    3. ????? ???????????? ?? ????? ????..
    4. ???????????? ??? ?????? ?? ???????? ????????? ?????.
    5. ????? ????,OK.
  19. . Dll ????? ?? ??? ?????
  20. ??? ?? ??? ????? ???????? ?? ?????? ?? ??? ????? ?? ????????? ?? ??????? ????? ??? ???? ?? ???, ????? ????? ?? ???? ????::
    1. . Dll ????? ?? ????-????? ????, ?? ???? ??? ????? ???????.
    2. ????? ?????????????? ?? ????? ????..
    3. ????? ????,???, ?? ???? ??? ?? ??? ???? ?? ??? ????? ???????? ??????????? ????? ????????? ?????????
    4. ????? ????,OK.
  21. ????????. dll ????? ?? ???? ??????? ?? ??? ?????? ?????? ?? ???, %systemroot%\System32\doieuln.dll ????? ??????
  22. ???? Microsoft ??????? ????? (MMC) ?? ????? ???? ??? BITS, ????: ??????, ?????? ??????????, ?? Windows ???????? ???? ????? ?????
  23. ???? ?? reinfection ?? ?????? ?? ?? ???? ??? ??? ???? ?? ??? ???????? ??? ????? ??? ???? ?? ???, ????? ????? ?? ???? ????::
    1. ???? ?????? ?? ???? ?? ??????? ????? ???????? ??? ?? ?? ????:
      • ??? ?? Windows 2000, Windows XP ?? Windows Server 2003 ??? ??? ???, ?? ?????? 967715 ???????????? ??????? ?? ???, Microsoft ?????? ??? ??? ???? ????? ?? ??? ????? ???? ?????? ????? ????::
        967715Windows ??? ????? ????? ??????????? ?? ????? ???? ????
      • ??? ?? Windows Vista ?? Windows Server 2008 ??? ??? ???, ??????? ?????? 950582 ???????????? ??????? ?? ???, Microsoft ?????? ??? ??? ???? ????? ?? ??? ????? ???? ?????? ????? ????::
        950582MS08-038: Windows Explorer ??? ???????????? ????? ??? ?? ????????
      ???:?????? 967715 ?? ??????? ?????? 950582 ???? ??????? ?????? ?? ?? ??????? ??? ?? ???????? ??? ??? 23b ????????? ?????? ?? ????? ???? ?? ??? ??????? ???? ?????
    2. ????? ????????? ?? ????? ???? ???? ????:
      reg.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f ??? ??????
  24. ??? ?????? ?? Windows ???????? ?? ??? ??, ?? Windows ???????? autostart ????? ???: ?????? ??? ???? ?? ???, ????? ????????? ?? ????? ???? ?????:
    reg.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows ????????" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f ??? ??????
  25. Windows Vista ?? ??? ??? ???????? ??????, ?? ??? ??????? ????? ???? ?? ??? TCP ??????? ????? Autotuning ?? ??? ??????? ?????? ?? ????????? ???? ??? ????? ?? ??? ?? ?????? ????, ?? ????? ????????? ?? ????? ???? ?????:
    netsh ??????? tcp ??? ??????? autotuning ??????? =
???, ?? ????????? ???? ???? ?? ??? ???????? seems reinfected ?? ???? ?? ???, ?? ?? ????? ????????? ?? ???? ???? ?? ?? ???? ??:
  • ?? autostart ????? ?? ?????? ???? ??? ??? ?????? ?? ???, AT ????? ???? ?????? ??? ?? ?? ??? Autorun.inf ????? ???? ??? ???? ????
  • MS08 067 ?? ??? ??????? ?????? ?? ??? ??? ?? ??????? ???? ??? ???
?? ??????? ?? ???? ?? ?? ?? ???? ??? ???? ??????? ???? ???????? ????????? ????? Win32/Conficker ?? ???? ??? ?????? ??????? ?? ??? ????? Microsoft ??????? ??????? ?????? ??? ??? ?? ????:
HTTP://www.Microsoft.com/Security/portal/Entry.aspx?Name=Win32/Conficker

???????? ???? ?? ?????? ?? ????? ??

???????? ???? ?? ????? ?????? ???? ?? ?? ???:
  • ????: ?????? (wuauserv)
  • ????????? ?????????? ?????????? ?????? (BITS)
  • Windows ???????? (windefend) (??? ???? ??)
  • Windows ?????? ?????????? ????
??? ???? ?? ???, ????? ????????? ?? ????? ???? ?????? ???????? ???? ?? ??? ENTER ?????.:

Sc.exe ?????? wuauserv
Sc.exe ?????? ?????
Sc.exe ?????? windefend
Sc.exe ?????? ersvc

?? ???????? ??????? ????? ??, ?? ???? ????? ?? ???? ?? ????? ??????? ????:
SERVICE_NAME: wuauserv
??????: 20 WIN32_SHARE_PROCESS
??????: 4 ??? ???
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE: 0 (0X0)
SERVICE_EXIT_CODE: 0 (0X0)
????????: 0X0
WAIT_HINT: 0X0
????? ???? ?? ?????? ???, "??????: 4 ???" ?? ?? ???? ?? ??? ???

SvcHost ????????? ??????? ?? ?????? ?? ???? ????, ????? ????? ?? ???? ????:
  1. ????????? ?????? ???, ?? ?????? ?????, ?? ???? ??? ????? ????????? ??????? ?? ????? ????:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. ????? ??? ??? ??? ????? ????Netsvcs:, ?? ?? ???? ??? ???????? ?? ??????? ????? ???? ?? ???? ?? ??? ???? ??????? ????? ??? ???????? ?? Conficker ?? ??? reinfected ??, ????? ???? ?? ??? ???????? ????? ?????? ?? ???, ?? ????????? ??? ??????? ???? ?? ??? ?? "Iaslogon."
??? ?? ??? ?????? ?? ?? ???? ??, ?? ???? ????????? ?????????? ???????? ?? ?????? ??????? ?????? ?? ???? ??? ???? ??????? ?? ???, ????? ???? ?????? ?? ????? ?? ???? ?? Microsoft ???????? ??? ?????::
49500????????? ?????????? ?????????? ?? ????
??? ???? ??? ??? ????????? ?????????? ???????? ???? ??, ?? ???? ????????? ?????????? ???????? ??? ???? ?? ???? ??, ?? ???? ?????? ?? ??? Microsoft ???????? ?????? ???? ?? ?????? ?????

??????? ???? ??? ???? ???? ?? ???

?????? ?? ???? ??? ???? ??, ?? ??? ?? ????? ?? ???? ????:
  1. ????? ???? ?? ????? ???????? ???? ?? ???: ????? ?????
  2. ???????? ????????? SVCHOST ????????? ????? ?? ????? ?????? ?? ???????????? ????? ?? ????? ?? reverted ???? ?? ??? ??????? ?????? ???? ???? ???????? ?? ????? ????? ??? ??? ???? ???? ????? ???? ??, ???????? ????????? ?? ???? ?? ????????? ???? ???? ?? ????? ?????? ??? ???????? ?????? ????? "Mitigation ???"???? ??????? ?? ??? ????
  3. ???????? ?? ???? ?? ???????? ??????? ?????? ?? ??????? ???? ?? ?????? ????? ??? ???? ?? ???, Windows ??????, Microsoft Windows ????? ?????? ?????? (WSUS) ?? ?????, ???????? ??????? ????? (SMS), ?????? ?????? ??????????? ??????? (??????????? ??????? 2007), ?? ???? ?????-???? ?????? ??????? ?????? ?? ????? ????? ???: ??? ?? SMS ?? ??????????? ??????? 2007 ?????, ???? ?????? ???? ????? ????? ????? ??????, SMS ?? ??????????? ??????? 2007 ?? ???? ?? ?????? ?? ?????? ???? ??? ???????

??????? ????? ???????? ????????

??? ???? ??? Conficker ?? ???????? ???? ??? ?? ?????? ?? ????? ?????? ??, ?? ????? TechNet blog ??? ?????? ??? ?? ????? ??? ?? ???? ??:
HTTP://blogs.TechNet.com/kfalde/Archive/2009/01/28/using-logparser-eventcomb-to-FIND-malware.aspx

???????? ????????? ??????

????? ?????? ???????? ???????? ?????? ?? ??? ????????? ?? ??????? ?????? ??? ?? ????????? ??? ????? ??? ?? ?? ???? ??? ??????? ???? ??? ?? ???????? ???? ???? ?? ????? ?? ????????? ?? ??????? ???? ??????? ??? ??? ????????? ?? ??? ?? ???? ??? ?????, ???? ?????? ??? ???? ???????? ???? ?? ???? ???? ??? ?? ???????? ????? ???? ?????? ??? ???? ?????? ?? ????? ???? ?? ??? ?? ???? ???????? ?? ???????????? ?? ???? ????
?? ?????? ?? ??????? ?????? ?????? ?? ??????? ????
???????? ??????:Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000:
??????Svchost ?????????????? ??????Svchost ?????????????? ??????Svchost ?????????????? ??????Svchost ?????????????? ??????Svchost ?????????????? ??????
????
?????????? (??????? ????)???? ???????????? ???????????? ???????????? ???????????? ???????????? ???????????? ???????????? ???????????? ???????????? ????????
?????????? ???????????? ???????????? ???????????? ???????????? ???????????? ???????????? ???????????? ???????????? ???????????? ????????
???? ?????????? (??????? ????)???? ???????? ???????? ???????? ???????????? ???????????? ???????????? ????
?????????? (??????? ????)????????? ????????????? ???????????? ???????????? ???????????? ????
?? ???? ????: ?? ????? ?? ???????????? ???? ????: ?? ????? ?? ??????????
?????? ????????? ???
?????????? ?? ???? ?????????????? ?? ???? ????
????? ????????? ????
???????? ?? ????????????? ?? ?????
?????? ?????????????? ????????????? ????????????? ???????? ???????? ???????? ???????? ???????? ????
?? ???? ????: ???? ?? ????????? ???? ????: ???? ?? ???????
??????? ???????? ??????????? ???????? ????
???? ??? ??????????? ??? ???????
????????? ?????????????? ?????
???? ?? ??? ????????? ????????? ???????? ?? ??? ????????? ????????? ????
??????? ???????????? ?????
??? ???????????? ?????????
????? ???????? (??????? ????)???? ???????? ???????? ???????? ???????? ????????????? ?????????
?? ???? ????: ???? ?? ????????? ???? ????: ???? ?? ???????
??????? ???????? ??????????? ???????? ????
???? ??? ??????????? ??? ???????
????????? ?????????????? ?????
???? ?? ??? ????????? ????????? ???????? ?? ??? ????????? ????????? ????
??????? ???????????? ?????
??? ???????????? ?????????
??????? ???????? ???????? ???????? ???????? ???????? ???????? ???????? ???????? ?????????
?? ???? ????: ?? ???????, ????????? ?? ???????
??????? ???????? ????
???? ??? ???????
????????? ?????
???? ?? ??? ????????? ????????? ????
??????? ?????
?????? ?????
????????? ?????
??????? ????????? ?????
??? ?????????

???

???? ID: 962007 - ????? ???????: 04 ??????? 2011 - ??????: 3.0
???? ???? ???? ??:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1, ?? ???? ??? ?????? ???? ???:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1, ?? ???? ??? ?????? ???? ???:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2, ?? ???? ??? ?????? ???? ???:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2, ?? ???? ??? ?????? ???? ???:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3, ?? ???? ??? ?????? ???? ???:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4, ?? ???? ??? ?????? ???? ???:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
??????: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew kbmt KB962007 KbMthi
???? ?????? ????????
??????????: ?? ???? ?? ???? ??????? ?? ????? ?? Microsoft ????-?????? ?????????? ?????? ?????? ???? ??? ??. Microsoft ???? ??? ????-???????? ?? ????-???????? ????? ?????? ?? ???? ???????? ???? ?? ???? ????? ????? ??? ?? ??? ?????? ?? ???? ???? ???? ??? ????? ??. ???????, ????-???????? ???? ????? ???? ???? ???? ???. ?????, ????????, ?????-???? ?? ??????? ?? ???????? ?? ???? ???, ???? ?? ??? ?????? ???? ???? ??? ????? ??? ?? ???? ??. Microsoft ??????? ??? ???? ?? ?????? ?? ??????????, ????????? ?? ??? ?????? ?? ???? ????? ?? ???? ???????? ?? ??? ???? ????? ?? ??? ????????? ???? ??. Microsoft ????-?????? ?????????? ?? ????? ?????? ?? ?? ??? ??.
?????????? ?? ??????? ????????? ??????? ??:962007

??????????? ???

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com