Makale numarası: 962007 - Son Gözden Geçirme: 07 Eylül 2009 Pazartesi - Gözden geçirme: 7.1

Win32/Conficker solucanı ile ilgili virüs uyarısı

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

Özet

Bu Bilgi Bankası makalesindeki bilgiler, bu makalenin ayrıntılarını uygulayabilen sistem yöneticileri olan iş ortamlarına yönelik olarak hazırlanmıştır. Virüsten koruma programınız virüsü doğru temizliyorsa ve sistemleriniz tam olarak güncelleştirilmişse, bu makaleyi kullanmanız için bir neden yoktur. Sistemde Conficker virüsü bulunmadığını doğrulamak için, aşağıdaki Web sayfasından bir hızlı tarama gerçekleştirin:
http://safety.live.com/site/tr-tr/default.htm (http://safety.live.com/site/tr-tr/default.htm)
Conficker virüsü hakkında ayrıntılı bilgi için aşağıdaki Microsoft Web sayfasını ziyaret edin:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker)
Üste

Bulaşma belirtileri

Bilgisayarınıza bu solucan bulaşmışsa, hiçbir belirtiyle karşılaşmayabileceğiniz gibi aşağıdaki belirtilerden biriyle de karşılaşabilirsiniz:
  • Hesap kilitleme ilkeleri takılıyor.
  • Otomatik Güncelleştirmeler, Arka Plan Akıllı Aktarım Hizmeti (BITS), Windows Defender ve Hata Bildirimi Hizmetleri devre dışı bırakılıyor.
  • Etki alanı denetleyicileri, istemci isteklerine yavaş yanıt veriyor.
  • Ağda sıkışıklık yaşanıyor.
  • Güvenlikle ilgili çeşitli Web sitelerine erişilemiyor.
  • Güvenlikle ilgili çeşitli araçlar çalışmıyor. Bilinen araçların listesi için, aşağıdaki Microsoft Web sayfasını ziyaret edin ve Win32/Conficker.D hakkında bilgi için Çözümleme sekmesini tıklatın. Daha fazla bilgi için, aşağıdaki Microsoft Web sayfasını ziyaret edin:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)
Win32/Conficker hakkında daha fazla bilgi için aşağıdaki Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi Web sayfasını ziyaret edin:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
Üste

Yayılma yöntemleri

Win32/Conficker solucanı birden çok yayılma yöntemi kullanmaktadır. Bu yöntemler aşağıda açıklanmaktadır:
  • Güvenlik güncelleştirmesi 958644 (MS08-067) ile giderilen güvenlik açığından yararlanma
  • Ağ paylaşımlarını kullanma
  • Otomatik Kullan işlevselliği kullanma
Bu nedenle, tehdidin daha önce temizlenen sistemlere yeniden bulaşmaması için solucanı ağdan temizlerken dikkatli olmalısınız.

Not Win32/Conficker.D türevi ağ üzerinden taşınabilir sürücülere veya paylaşılan klasörlere yayılmaz. Win32/Conficker.D, Win32/Conficker'ın önceki türevleri tarafından yüklenir.
Üste

Önleme

  • Tüm bilgisayarlar için benzersiz olan güçlü yönetici parolaları kullanın.
  • Domain Admin (Etki Alanı Yöneticisi) kimlik bilgilerini veya tüm bilgisayarlara erişimi olan kimlik bilgilerini kullanarak oturum açmayın.
  • Tüm sistemlerde en son güvenlik güncelleştirmelerinin uygulanmış olduğundan emin olun.
  • Otomatik çalıştır özelliklerini devre dışı bırakın. Daha fazla bilgi için, "Grup İlkesi nesnesi oluşturma" bölümünün 3. adımına bakın.
  • Paylaşımlardaki fazla olan hakları kaldırın. Buna, tüm paylaşımların köküne yazma izinlerini kaldırmak dahildir.
Üste

Etkiyi azaltma adımları

Grup İlkesi ayarlarını kullanarak Win32/Conficker solucanının yayılmasını engelleme

Notlar
  • Önemli Bu makalede önerilen değişikliklerden herhangi birini yapmadan önce, tüm geçerli ayarları belgelediğinizden emin olun.
  • Bu yordam Conficker adlı zararlı yazılımı sistemden kaldırmaz. Yordam yalnızca zararlı yazılımın yayılmasını engeller. Conficker zararlı yazılımını sistemden kaldırmak için bir virüsten koruma ürünü kullanmalısınız. Ya da bu Bilgi Bankası makalesinin "Win32/Conficker virüsünü el ile kaldırma adımları" bölümündeki adımları izleyerek zararlı yazılımı sistemden el ile kaldırın.
  • Aşağıdaki adımlarda önerilen izin değişiklikleri yapılırken uygulamaları, hizmet paketlerini veya diğer güncelleştirmeleri düzgün yükleyemeyebilirsiniz. Bu, Windows Update, Microsoft Windows Server Update Services (WSUS) sunucusu ve System Center Configuration Manager (SCCM) kullanılarak uygulanan güncelleştirmeleri içerir (bu ürünler Otomatik Güncelleştirmeler'in bileşenlerini kullanır), ancak bunlarla sınırlı değildir. Sistemi temizledikten sonra, izinleri varsayılan ayarlarına geri döndürdüğünüzden emin olun.
  • "Grup İlkesi nesnesi oluşturma" bölümünde açıklanan SVCHOST kayıt defteri anahtarının ve Görevler Klasörünün varsayılan izinleri hakkında bilgi için, bu makalenin sonundaki Varsayılan izinler tablosuna bakın.
Üste

Grup İlkesi nesnesi oluşturma

Ortamınızın gereksinimlerine göre, belirli bir kuruluş birimindeki (OU), sitedeki veya etki alanındaki tüm bilgisayarlara uygulanan yeni bir Grup İlkesi nesnesi (GPO) oluşturun.

Bunu yapmak için şu adımları izleyin:
  1. Aşağıdaki kayıt defteri alt anahtarına yazma izinlerini kaldıracak şekilde ilkeyi ayarlayın:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Bu, rasgele adlandırılan zararlı yazılım hizmetinin netsvcs kayıt defteri değerinde oluşturulmasını engeller.

    Bunu yapmak için şu adımları izleyin:
    1. Grup İlkesi Yönetim Konsolu'nu (GPMC) açın.
    2. Yeni bir GPO oluşturun. Bu öğeye istediğiniz adı verebilirsiniz.
    3. Yeni GPO'yu açın ve sonra da aşağıdaki klasöre gidin:
      Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Kayıt Defteri
    4. Kayıt Defteri'ni sağ tıklatın ve ardından Anahtar Ekle'yi tıklatın.
    5. Kayıt Defteri Anahtarını Seç iletişim kutusunda Machine öğesini genişletip aşağıdaki klasöre gidin:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Tamam'ı tıklatın.
    7. Açılan iletişim kutusunda, hem Yöneticiler hem de Sistem için Tam Denetim onay kutusunu tıklatıp temizleyin.
    8. Tamam'ı tıklatın.
    9. Nesne Ekle iletişim kutusunda, Tüm alt anahtarlar üzerinde varolan izinleri devralınabilen izinlerle değiştir seçeneğini tıklatın.
    10. Tamam'ı tıklatın.
  2. %windir%\Tasks klasörüne yazma izinlerini kaldıracak şekilde ilkeyi ayarlayın. Bu, Conficker zararlı yazılımının Zamanlanmış Görevler oluşturarak sisteme yeniden bulaşmasını engeller.

    Bunu yapmak için şu adımları izleyin:
    1. Daha önce oluşturduğunuz GPO'da aşağıdaki klasöre gidin:
      Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Dosya Sistemi
    2. Dosya Sistemi'ni sağ tıklatın ve sonra da Dosya Ekle'yi tıklatın.
    3. Dosya veya klasör ekle iletişim kutusunda, %windir%\Tasks klasörüne gidin. Klasör iletişim kutusunda Görevler'in vurgulanmış olduğundan emin olun.
    4. Tamam'ı tıklatın.
    5. Açılan iletişim kutusunda, hem Yöneticiler hem de Sistem için Tam Denetim, Değiştirme ve Yazma onay kutularını tıklatıp temizleyin.
    6. Tamam'ı tıklatın.
    7. Nesne Ekle iletişim kutusunda, Tüm alt anahtarlar üzerinde varolan izinleri devralınabilen izinlerle değiştir seçeneğini tıklatın.
    8. Tamam'ı tıklatın.
  3. Otomatik Kullan (Otomatik Yürüt) özelliklerini devre dışı bırakılmış olarak ayarlayın. Bu, Conficker zararlı yazılımının Windows'da yerleşik olarak bulunan Otomatik Kullan özelliklerini kullanarak yayılmasını engeller.

    Not Kullandığınız Windows sürümüne bağlı olarak, Otomatik Çalıştır işlevini düzgün şekilde devre dışı bırakabilmeniz için yüklemiş olmanız gereken farklı güncelleştirmeler bulunmaktadır:
    • Windows Vista'da veya Windows Server 2008'de Otomatik Çalıştır işlevini devre dışı bırakmak için, güvenlik güncelleştirmesi 950582 (http://support.microsoft.com/kb/950582) yüklü olmalıdır (güvenlik bülteni MS08-038'de açıklanmıştır).
    • Windows XP, Windows Server 2003 veya Windows 2000'de Otomatik Çalıştır işlevini devre dışı bırakmak için, güvenlik güncelleştirmesi 950582 (http://support.microsoft.com/kb/950582) , güncelleştirme 967715 (http://support.microsoft.com/kb/967715) veya güncelleştirme 953252 (http://support.microsoft.com/kb/953252) yüklü olmalıdır.
    Otomatik Kullan (Otomatik Yürüt) özelliklerini devre dışı bırakılmış olarak ayarlamak için, şu adımları izleyin:
    1. Daha önce oluşturduğunuz GPO'da aşağıdaki klasörlerden birine gidin:
      • Windows Server 2003 etki alanı için aşağıdaki klasöre gidin:
        Bilgisayar Yapılandırması\Yönetim Şablonları\Sistem
      • Windows 2008 etki alanı için aşağıdaki klasöre gidin:
        Bilgisayar Yapılandırması\Yönetim Şablonları\Windows Bileşenleri\Otomatik Kullan İlkeleri
    2. Otomatik çalıştır özelliğini kapat ilkesini açın.
    3. Otomatik çalıştır özelliğini kapat iletişim kutusunda, Etkinleştirilmiş'i tıklatın.
    4. Açılan menüden Tüm sürücüler'i tıklatın.
    5. Tamam'ı tıklatın.
  4. Grup İlkesi Yönetim Konsolu'nu kapatın.
  5. Yeni oluşturulan GPO'yu, uygulamak istediğiniz konuma bağlayın.
  6. Grup İlkesi ayarlarının tüm bilgisayarları güncelleştirmesini bekleyin. Genellikle, Grup İlkesi'nin tüm etki alanı denetleyicilerine çoğaltması beş dakika, sistemin geri kalanına çoğaltması 90 dakika sürer. Birkaç saat yeterli olacaktır. Ancak çalışma ortamına bağlı olarak daha fazla zaman gerekebilir.
  7. Grup İlkesi ayarları dağıtıldıktan sonra, zararlı yazılımın bulaştığı sistemleri temizleyin.

    Bunu yapmak için şu adımları izleyin:
    1. Tüm bilgisayarlarda tam virüsten koruma taraması çalıştırın.
    2. Virüsten koruma yazılımınız Conficker solucanını algılamıyorsa, Kötü Amaçlı Yazılımları Temizleme aracını (MSRT) kullanarak da zararlı yazılımı temizleyebilirsiniz. Daha fazla bilgi için aşağıdaki Microsoft Web sayfasını ziyaret edin:
      http://www.microsoft.com/security/malwareremove/default.mspx (http://www.microsoft.com/security/malwareremove/default.mspx)
      Not Zararlı yazılımın tüm etkilerini gidermek için bazı adımları el ile uygulamanız gerekebilir. Zararlı yazılımın tüm etkilerini gidermek için, bu makalenin "Win32/Conficker virüsünü el ile kaldırma adımları" bölümünde listelenen adımları incelemeniz önerilir.
Üste

Kurtarma

Kötü Amaçlı Yazılımları Temizleme aracını çalıştırma

Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi, Kötü Amaçlı Yazılımları Temizleme aracını (MSRT) güncelleştirmiştir. Bu araç, yaygın olarak karşılaşılan kötü amaçlı yazılımların temizlenmesinde kullanılan bağımsız bir ikili dosyadır ve Win32/Conficker kötü amaçlı yazılım ailesinin temizlenmesine yardımcı olabilir.

Not MSRT gerçek zamanlı bir virüsten koruma programı olmadığı için, yeniden bulaşmayı engellemez.

MSRT'yi aşağıdaki Microsoft Web sitelerinden yükleyebilirsiniz:
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=tr-tr (http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=tr-tr)
http://support.microsoft.com/kb/890830 (http://support.microsoft.com/kb/890830)

MSRT'ye özgü dağıtım ayrıntıları hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
891716  (http://support.microsoft.com/kb/891716/ ) Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı'nın kuruluş ortamında dağıtılması
Not Stand-Alone System Sweeper (Bağımsız Sistem Temizleme) aracı da bu solucanı temizler. Bu araç, Microsoft Desktop Optimization Pack 6.0'ın bir bileşeni olarak veya Müşteri Hizmetleri ve Destek aracılığıyla edinilebilir. Microsoft Desktop Optimization Pack'i edinmek için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx (http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx)
Windows Live OneCare veya Microsoft Forefront Client Security sistemde çalışıyorsa, bu programlar da tehdidi yüklenmeden önce engeller.
Üste

Win32/Conficker virüsünü el ile kaldırma adımları

Notlar
  • El ile uygulanan bu adımlar artık gerekli değildir ve yalnızca Conficker virüsünü kaldırmak için bir virüsten koruma yazılımınız yoksa kullanılmalıdır.
  • Bilgisayara bulaşmış olan Win32/Conficker türevine bağlı olarak, bu bölümde geçen değerlerden bazıları virüs tarafından değiştirilmemiş olabilir.
Aşağıdaki ayrıntılı adımlar Conficker'ı sisteminizden el ile kaldırmanıza yardımcı olabilir:
  1. Bir yerel hesap kullanarak sistemde oturum açın.

    Önemli Mümkünse, sistemde oturum açarken bir Etki Alanı hesabı kullanmayın. Özellikle de, oturum açarken bir Etki Alanı Yöneticisi hesabı kullanmayın. Kötü amaçlı yazılım, oturum açmış kullanıcının kimliğine bürünür ve oturum açmış kullanıcının kimlik bilgilerini kullanarak ağ kaynaklarına erişir. Bu davranış, kötü amaçlı yazılımın yayılmasına olanak verir.
  2. Sunucu hizmetini durdurun. Bu işlem, Yönetici paylaşımlarını sistemden kaldırarak kötü amaçlı yazılımın bu yöntemle yayılmamasını sağlar.

    Not Sunucu hizmetinin yalnızca kötü amaçlı yazılım çalışma ortamınızdan temizlenirken geçici olarak devre dışı bırakılması gerekir. Bu adım ağ kaynaklarının kullanılabilirliğini etkileyeceğinden, özellikle üretim sunucularında dikkatli olunması gerekir. Çalışma ortamı temizlendikten hemen sonra Sunucu hizmeti yeniden etkinleştirilebilir.

    Sunucu hizmetini durdurmak için, Hizmetler Microsoft Yönetim Konsolu'nu (MMC) kullanın. Bunu yapmak için şu adımları izleyin:
    1. Sisteminize bağlı olarak şunları yapın:
      • Windows Vista ve Windows Server 2008'de, Başlat'ı tıklatın, Aramaya Başla kutusuna services.msc yazın ve sonra da Programlar listesinde services.msc dosyasını tıklatın.
      • Windows 2000, Windows XP ve Windows Server 2003'te, Başlat'ı ve sonra Çalıştır'ı tıklatın, services.msc yazın ve ardından Tamam'ı tıklatın.
    2. Sunucu hizmetini çift tıklatın.
    3. Durdur'u tıklatın.
    4. Başlangıç türü kutusunda Devre Dışı seçeneğini belirleyin.
    5. Uygula'yı tıklatın.
  3. AT ile oluşturulan tüm zamanlanmış görevleri kaldırın. Bunu yapmak için, komut istemine AT /Delete /Yes yazın.
  4. Görev Zamanlayıcısı hizmetini durdurun.
    • Windows 2000, Windows XP ve Windows Server 2003'te Görev Zamanlayıcısı hizmetini durdurmak için, Hizmetler Microsoft Yönetim Konsolu'nu (MMC) veya SC.exe yardımcı programını kullanın.
    • Windows Vista veya Windows Server 2008'de Görev Zamanlayıcısı hizmetini durdurmak için aşağıdaki adımları izleyin.

      Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
      322756  (http://support.microsoft.com/kb/322756/ ) Windows XP ve Windows Server 2003'te kayıt defteri nasıl yedeklenir, düzenlenir ve geri yüklenir
      1. Başlat'ı tıklatın, Aramaya Başla kutusuna regedit yazın ve sonra da Programlar listesinde regedit.exe dosyasını tıklatın.
      2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Ayrıntılar bölmesinde, Start DWORD girdisini sağ tıklatın ve ardından Değiştir'i tıklatın.
      4. Değer verisi kutusuna 4 yazın ve Tamam'ı tıklatın.
      5. Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.

        Not Görev Zamanlayıcısı hizmetinin yalnızca kötü amaçlı yazılım çalışma ortamınızdan temizlenirken geçici olarak devre dışı bırakılması gerekir. Bu özellikle Windows Vista ve Windows Server 2008 için geçerlidir, çünkü bu adım yerleşik olan çeşitli Zamanlanmış Görevleri etkiler. Ortamınız temizlenir temizlenmez, Sunucu hizmetini yeniden etkinleştirin.
  5. Güvenlik güncelleştirmesi 958644'ü (MS08-067) karşıdan yükleyin ve el ile kurun. Daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
    http://www.microsoft.com/turkiye/technet/security/bulletin/2008/ms08-067.mspx (http://www.microsoft.com/turkiye/technet/security/bulletin/2008/ms08-067.mspx)
    Not Bu site, kötü amaçlı yazılım tarafından engelleniyor olabilir. Bu senaryoda, güncelleştirmeyi bulaşma olmayan bir bilgisayardan yüklemeniz ve güncelleştirme dosyasını bulaşma olan sisteme aktarmanız gerekmektedir. Güncelleştirmeyi bir CD'ye yazmanız önerilir, çünkü yazılan CD bir kez daha yazılamaz hale gelir. Bu nedenle de solucan CD'ye bulaşamaz. Kaydedilebilir bir CD sürücüsü yoksa, güncelleştirmeyi bulaşma olan sisteme kopyalamanın tek yolu bir taşınabilir USB bellek sürücüsü kullanmak olacaktır. Taşınabilir sürücü kullanıyorsanız, kötü amaçlı yazılımın bu sürücüye bir Autorun.inf dosyasıyla bulaşabileceğini unutmayın. Güncelleştirmeyi taşınabilir sürücüye kopyaladıktan sonra, aygıtınızda salt okunur modunu kullanabiliyorsanız sürücüyü salt okunur moduna geçirdiğinizden emin olun. Salt okunur modu kullanılabiliyorsa, genellikle aygıt üzerindeki bir fiziksel anahtar kullanılarak etkinleştirilir. Güncelleştirme dosyasını bulaşma olan bilgisayara kopyaladıktan sonra, taşınabilir sürücüyü denetleyerek Autorun.inf dosyasının sürücüye yazılıp yazılmadığına bakın. Yazılmışsa, Autorun.inf dosyasını Autorun.bad gibi bir adla yeniden adlandırarak, taşınabilir sürücü bir bilgisayara bağlandığında çalıştırılamamasını sağlayın.
  6. Yerel Yönetici ve Etki Alanı Yöneticisi parolalarını yeni bir güçlü parola kullanacak şekilde sıfırlayın. Daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
    http://technet.microsoft.com/tr-tr/library/cc875814.aspx (http://technet.microsoft.com/tr-tr/library/cc875814.aspx)
  7. Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Ayrıntılar bölmesinde, netsvcs girdisini sağ tıklatın ve sonra Değiştir'i tıklatın.
  9. Bilgisayara Win32/Conficker virüsü bulaşmışsa, rasgele verilmiş bir hizmet adı listelenir.

    Not Win32/Conficker.B türevinde bu hizmet adı rasgele harflerden oluşuyordu ve listenin en altındaydı. Sonraki türevlerde, hizmetin adı listenin herhangi bir yerinde olabilir ve daha fazla kurallara uygun görünebilir. Rasgele hizmet adı en altta değilse, Win32/Conficker tarafından hangi hizmet adının eklenmiş olabileceğini belirlemek için sisteminizi bu yordamdaki "Hizmetler tablosu" ile karşılaştırın. Doğrulamak için, "Hizmetler tablosundaki" listeyi virüs bulaştığı bilinen benzer bir sistemle karşılaştırın.

    Kötü amaçlı yazılımın hizmet adını not alın. Bu bilgiye bu yordamda daha sonra gereksinim duyacaksınız.
  10. Kötü amaçlı yazılım hizmetine başvuran satırı silin. Listelenen son geçerli girdinin altında boş bir yeni satır bıraktığınızdan emin olun ve ardından Tamam'ı tıklatın.

    Hizmetler tablosuyla ilgili notlar
    • Hizmetler tablosundaki tüm girdiler, kalın olarak vurgulanan öğeler dışında geçerli girdilerdir.
    • Kalınla vurgulanan bu öğeler Win32/Conficker virüsünün SVCHOST kayıt defteri anahtarındaki netsvcs değerine neler ekleyebileceğinin örnekleridir.
    • Sistemde nelerin yüklü olduğuna bağlı olarak, bu liste tüm hizmetleri içermeyebilir.
    • Hizmetler tablosu Windows'un varsayılan yüklemesine göredir.
    • Win32/Conficker virüsünün listeye eklediği girdi bir şaşırtmaca tekniğidir. İlk harfinin benzemesi amaçlanan kötü amaçlı yazılım girdisi küçük "L" harfidir. Ancak, bu gerçekte büyük "I" harfidir. İşletim sisteminin kullandığı yazı tipi nedeniyle, büyük "I" küçük "L" gibi görünür.

    Hizmetler tablosu

    Bu tabloyu kapaBu tabloyu aç
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. Önceki yordamda, kötü amaçlı yazılımın hizmet adını not almıştınız. Buradaki örnekte, kötü amaçlı yazılım girdisi "Iaslogon" olarak adlandırılmıştı. Bu bilgiyi kullanarak şu adımları izleyin:
    1. Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın; burada KötüHizmetAdı, kötü amaçlı yazılımın hizmet adıdır:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KötüHizmetAdı
      Örneğin, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Gezinti bölmesinde, kötü amaçlı yazılım hizmet adının alt anahtarını sağ tıklatın ve sonra da İzinler'i tıklatın.
    3. SvcHost için İzin Girdisi iletişim kutusunda Gelişmiş'i tıklatın.
    4. Gelişmiş Güvenlik Ayarları iletişim kutusunda, aşağıdaki onay kutularının her ikisini de tıklatıp seçin:
      Bağımlı nesnelere uygulanan izin girdilerini ana öğeden devral. Bunları açıkça burada tanımlananlara ekle.

      Tüm bağımlı nesnelerdeki izin girdilerini burada gösterilen ve bağımlı nesnelere uyanlarla değiştir.
  12. F5 tuşuna basarak Kayıt Defteri Düzenleyicisi'ni güncelleştirin. Ayrıntılar bölmesinde, şimdi "ServiceDll" olarak yüklenen kötü amaçlı yazılım DLL'sini görüp düzenleyebilirsiniz. Bunu yapmak için şu adımları izleyin:
    1. ServiceDll girdisini çift tıklatın.
    2. Başvurulan DLL dosyasının yolunu not alın. Bu bilgiye bu yordamda daha sonra gereksinim duyacaksınız. Örneğin, başvurulan DLL dosyasının yolu aşağıdakine benzeyebilir: 
       %SystemRoot%\System32\doieuln.dll
      Başvuruyu, aşağıdakine benzeyecek şekilde yeniden adlandırın: 
       %SystemRoot%\System32\doieuln.old
    3. Tamam'ı tıklatın.
  13. Kayıt defterindeki Run alt anahtarından kötü amaçlı yazılımın hizmet girdisini kaldırın.
    1. Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarlarını bulun ve tıklatın:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. Her iki alt anahtarda da, "rundll32.exe" ile başlayan ve kötü amaçlı yazılımın adım 12b'de belirlediğiniz "ServiceDll" adıyla yüklenen DLL dosyasına başvuran tüm girdileri bulun. Girdiyi silin.
    3. Kayıt Defteri Düzenleyicisi'nden çıkın ve bilgisayarı yeniden başlatın.
  14. Sistemdeki tüm sürücülerde bulunan Autorun.inf dosyalarını denetleyin. Not Defteri'ni kullanarak dosyaları tek tek açıp, geçerli bir Autorun.inf dosyası olduğunu doğrulayın. Aşağıda, geçerli olan tipik bir Autorun.inf dosyasına örnek verilmektedir. 
    [autorun]
    
shellexecute=Servers\splash.hta *DVD*
    
icon=Servers\autorun.ico
    Geçerli bir Autorun.inf dosyası genellikle 1 - 2 kilobayt (KB) boyutundadır.
  15. Geçersiz gibi görünen tüm Autorun.inf dosyalarını silin.
  16. Bilgisayarı yeniden başlatın.
  17. Gizli dosyaların görünür olmasını sağlayın. Bunu yapmak için, komut istemine aşağıdaki komutu yazın:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Dosyayı görebilmek için Gizli dosya ve klasörleri göster seçeneğini belirleyin. Bunu yapmak için şu adımları izleyin:
    1. Adım 12b'de, kötü amaçlı yazılımın başvurulan .dll dosyasının yolunu not almıştınız. Örneğin, aşağıdakine benzeyen bir yolu not etmiştiniz:
      %systemroot%\System32\doieuln.dll
      Windows Gezgini'nde, %systemroot%\System32 dizinini veya kötü amaçlı yazılımı içeren dizini açın.
    2. Araçlar'ı ve sonra Klasör Seçenekleri'ni tıklatın.
    3. Görünüm sekmesini tıklatın.
    4. Gizli dosya ve klasörleri göster onay kutusunu işaretleyin.
    5. Tamam'ı tıklatın.
  19. .dll dosyasını seçin.
  20. Dosya izinlerini düzenleyerek Everyone (Herkes) grubu için Tam Denetim iznini ekleyin. Bunu yapmak için şu adımları izleyin:
    1. .dll dosyasını sağ tıklatın ve sonra Özellikler'i tıklatın.
    2. Güvenlik sekmesini tıklatın.
    3. Everyone (Herkes) öğesini tıklatın ve sonra da İzin Ver sütununda Tam Denetim onay kutusunu tıklatıp seçin.
    4. Tamam'ı tıklatın.
  21. Kötü amaçlı yazılımın başvurduğu .dll dosyasını silin. Örneğin, %systemroot%\System32\doieuln.dll dosyasını silin.
  22. Hizmetler Microsoft Yönetim Konsolu'nu (MMC) kullanarak BITS, Otomatik Güncelleştirmeler, Hata Bildirimi ve Windows Defender hizmetlerini etkinleştirin.
  23. Yeniden bulaşma olasılığını azaltmak için Otomatik Kullan özelliğini kapatın. Bunu yapmak için şu adımları izleyin:
    1. Sisteminize bağlı olarak, aşağıdaki güncelleştirmelerden birini yükleyin:
      • Windows 2000, Windows XP veya Windows Server 2003 çalıştırıyorsanız, 967715 numaralı güncelleştirmeyi yükleyin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        967715  (http://support.microsoft.com/kb/967715/ ) Windows'daki Otomatik Çalıştır işlevini devre dışı bırakma
      • Windows Vista veya Windows Server 2008 çalıştırıyorsanız, güvenlik güncelleştirmesi 950582'yi yükleyin. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
        950582  (http://support.microsoft.com/kb/950582/ ) MS08-038: Windows Gezgini'ndeki güvenlik açığı uzaktan kod yürütülmesine izin verebilir
      Not 967715 numaralı güncelleştirme ve güvenlik güncelleştirmesi 950582, bu kötü amaçlı yazılım sorunuyla ilişkili değildir. Adım 23b'deki kayıt defteri işlevinin etkinleştirilmesi için bu güncelleştirmelerin yüklü olmaları gerekmektedir.
    2. Komut istemine aşağıdaki komutu yazın:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Sistemde Windows Defender çalışıyorsa, Windows Defender otomatik başlatma konumunu yeniden etkinleştirin. Bunu yapmak için, komut istemine aşağıdaki komutu yazın:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f
  25. Windows Vista ve sonraki işletim sistemlerinde, kötü amaçlı yazılım, TCP Alma Penceresi Otomatik Ayarı'nın genel ayarını devre dışı olarak değiştirir. Bu ayarı önceki değerine döndürmek için, komut istemine aşağıdaki komutu yazın:
    netsh interface tcp set global autotuning=normal
Bu yordamı tamamladıktan sonra bilgisayara solucan bulaşmış gibi görünüyorsa, aşağıdaki koşullardan biri doğru olabilir:
  • Otomatik başlatma konumlarından biri kaldırılmamıştır. Örneğin, AT işi veya bir Autorun.inf dosyası kaldırılmamıştır.
  • MS08-067 güvenlik güncelleştirmesi doğru yüklenmemiştir.
Bu kötü amaçlı yazılım, bu makalede açıklanmayan başka ayarları değiştirebilir. Win32/Conficker ile ilgili en son bilgiler için aşağıdaki Microsoft Kötü Amaçlı Yazılımlardan Korunma Merkezi Web sayfasını ziyaret edin:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)
Üste

Sistemde bulaşma olmadığını doğrulayın

Aşağıdaki hizmetlerin başlatılmış olduğunu doğrulayın:
  • Otomatik Güncelleştirmeler (wuauserv)
  • Arka Plan Akıllı Aktarım Hizmeti (BITS)
  • Windows Defender (windefend) (yüklüyse)
  • Windows Hata Bildirimi Hizmeti
Bunu yapmak için, komut istemine aşağıdaki komutları yazın: Her komutun ardından ENTER tuşuna basın:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Her komut çalıştırıldıktan sonra, aşağıdakine benzer bir ileti alırsınız:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Bu örnekte, "STATE : 4 RUNNING", hizmetin çalıştığını gösterir.

SvcHost kayıt defteri alt anahtarının durumunu doğrulamak için, aşağıdaki adımları izleyin:
  1. Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun ve tıklatın:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Ayrıntılar bölmesinde, netsvcs öğesini çift tıklatın ve listelenen hizmet adlarını gözden geçirin. Listenin en altına gidin. Bilgisayara Conficker yeniden bulaşmışsa, rasgele bir hizmet adı listelenir. Örneğin bu yordamda, kötü amaçlı yazılım hizmeti "Iaslogon" olarak adlandırılmıştır.
Bu adımlar sorunu gideremezse, virüsten koruma yazılımı satıcınıza başvurun. Bu sorun hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
49500  (http://support.microsoft.com/kb/49500/ ) Virüsten koruma yazılımı satıcılarının listesi
Virüsten koruma yazılımınız yoksa veya virüsten koruma yazılımı satıcınız size yardımcı olamazsa, daha fazla yardım için Microsoft Müşteri Destek Hizmetleri'ne başvurun.
Üste

Çalışma ortamı tümüyle temizlendikten sonra

Çalışma ortamı tümüyle temizlendikten sonra şu adımları izleyin:
  1. Sunucu hizmetini ve Görev Zamanlayıcısı hizmetini yeniden etkinleştirin.
  2. SVCHOST kayıt defteri anahtarındaki ve Görevler klasöründeki varsayılan izinleri geri yükleyin. Grup İlkesi ayarları kullanılarak bunun varsayılan ayarlara döndürülmesi gerekir. İlke yalnızca kaldırılırsa, varsayılan izinler geri değiştirilmeyebilir. Daha fazla bilgi için "Etkiyi azaltma adımları" bölümündeki varsayılan izinler tablosuna bakın.
  3. Eksik güvenlik güncelleştirmelerini yükleyerek bilgisayarı güncelleştirin. Bunu yapmak için Windows Update hizmetini, Microsoft Windows Server Update Services (WSUS) sunucusunu, Systems Management Server (SMS) hizmetini, System Center Configuration Manager (SCCM) hizmetini veya üçüncü taraflara ait güncelleştirme yönetim ürününüzü kullanın. SMS veya SCCM kullanırsanız, ilk önce Sunucu hizmetini yeniden etkinleştirmelisiniz. Aksi durumda, SMS veya SCCM sistemi güncelleştiremeyebilir.
Üste

Virüslü sistemleri tanımlama

Conficker bulaşmış sistemleri tanımlamada sorunla karşılaşıyorsanız, aşağıdaki TechNet Web günlüğünde sağlanan ayrıntılar yardımcı olabilir:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx (http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx)
Üste

Varsayılan izinler tablosu

Aşağıdaki tablo, her işletim sistemine yönelik varsayılan izinleri göstermektedir. Bu makalede önerilen değişiklikleri uygulamadan önce bu izinler verilmiştir. Bu izinler, sizin ortamınızda ayarlanmış olan izinlerden farklı olabilir. Bu nedenle, herhangi bir değişiklik yapmadan önce ayarlarınızı not almanız gerekir. Bunun yapılması, sistemi temizledikten sonra ayarları geri yükleyebilmeniz için gereklidir.
Bu tabloyu kapaBu tabloyu aç
İşletim sistemi Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
AyarSvchost Kayıt DefteriGörevler KlasörüSvchost Kayıt DefteriGörevler KlasörüSvchost Kayıt DefteriGörevler KlasörüSvchost Kayıt DefteriGörevler KlasörüSvchost Kayıt DefteriGörevler Klasörü
Hesap
Administrators (Yerel Grup)Tam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam Denetim
SistemTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam DenetimTam Denetim
Power Users (Yerel Grup)uygulanamazuygulanamazuygulanamazuygulanamazOkumauygulanamazOkumauygulanamazOkumauygulanamaz
Users (Yerel Grup)Özel uygulanamazÖzeluygulanamazOkumauygulanamazOkumauygulanamazOkumauygulanamaz
Şuna uygula: Bu anahtar ve alt anahtarlarıŞuna uygula: Bu anahtar ve alt anahtarları
Sorgu DeğeriSorgu Değeri
Alt Anahtarları ListeleAlt Anahtarları Listele
BildirBildir
Okuma DenetimiOkuma Denetimi
Authenticated Users (Kimliği Doğrulanmış Kullanıcılar)uygulanamazÖzeluygulanamazÖzeluygulanamazuygulanamazuygulanamazuygulanamazuygulanamazuygulanamaz
Şuna uygula: Yalnızca bu klasörŞuna uygula: Yalnızca bu klasör
Klasörü GezKlasörü Gez
Klasörü ListeleKlasörü Listele
Öznitelikleri OkuÖznitelikleri Oku
Genişletilmiş Öznitelikleri OkuGenişletilmiş Öznitelikleri Oku
Dosya OluşturDosya Oluştur
İzinleri Okuİzinleri Oku
Backup Operators (Yerel Grup)uygulanamazuygulanamazuygulanamazuygulanamazuygulanamazÖzeluygulanamazÖzel
Şuna uygula: Yalnızca bu klasörŞuna uygula: Yalnızca bu klasör
Klasörü GezKlasörü Gez
Klasörü ListeleKlasörü Listele
Öznitelikleri OkuÖznitelikleri Oku
Genişletilmiş Öznitelikleri OkuGenişletilmiş Öznitelikleri Oku
Dosya OluşturDosya Oluştur
İzinleri Okuİzinleri Oku
Everyone (Herkes)uygulanamazuygulanamazuygulanamazuygulanamazuygulanamazuygulanamazuygulanamazuygulanamazuygulanamazÖzel
Şuna uygula: Bu klasör, alt klasör ve dosyalar
Klasörü Gez
Klasörü Listele
Öznitelikleri Oku
Genişletilmiş Öznitelikleri Oku
Dosya Oluştur
Klasör Oluştur
Öznitelikleri Yaz
Genişletilmiş Öznitelikleri Yaz
İzinleri Oku
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1, Ne zaman ne ile kullanilir:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2, Ne zaman ne ile kullanilir:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 3, Ne zaman ne ile kullanilir:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Service Pack 4, Ne zaman ne ile kullanilir:
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Üste
Anahtar Kelimeler: 
kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
Üste