Támogatás » Támogatás hírek » Conficker-rel fertőzött gépek felderítése

Conficker-rel fertőzött gépek felderítése

2012/01/27

Egyszerű módszer a hálózaton található gépek megtisztítására

A Conficker (vagy más néven Worm.Kido) férget már régóta felismerik és blokkolják a VirusBuster termékei, viszont ha valahol még nincs feltelepítve a KB958644 számú Windows frissítés, akkor a rendszer sebezhetőségét kihasználva a kártevő megpróbál terjedni. Ha ilyesmit észlel, akkor ellenőrizni kell a hálózatban lévő gépeket, hogy melyikről jön a támadás.

A legegyszerűbb mód annak kiderítésére, hogy melyik gép(ek)ről jön a fertőzés, a következő:

Először be kell állítani, hogy a Biztonsági naplóba beíródjanak a sikertelen bejelentkezési kísérletek (a kártevő megpróbálja kitalálni az egyszerűbb jelszavakat). Ehhez nyissa meg a Start menüben a Futtatást és írja be a gpedit.msc parancsot, majd nyomja meg az OK-t.

A megjelenő ablakban navigáljon el ehhez a ponthoz:

Házirend: Helyi számítógép > Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Helyi házirend > Naplórend

A jobb oldalon kattintson kétszer a "Bejelentkezés naplózása" beállításra és pipálja ki a "Sikeres" és "Sikertelen" jelölőnégyzeteket, majd nyomja meg az OK gombot.

(Windows Server operációs rendszeren a beállítás:

Start > Administrative Tools > Default Domain Control Security Policy > Security Settings > Local Policies > Audit Policy > Audit Logon Events > ennek a beállítása "Success, Failure" legyen.)

Ezután kattintson jobb gombbal a Sajátgép/Számítógép ikonra és válassza a Kezelést. A megjelenő ablakban a Számítógép-kezelés (Helyi) > Rendszereszközök > Eseménynapló > Biztonság ágat kell kinyitni. Itt rengeteg olyan hibaüzenet lesz látható, ami a sikertelen bejelentkezésre vonatkozik. 529-es kódú eseményt kell keresni. Nyissa meg ezeket az 529-es eseményeket és a "Számítógép" sorban nézze meg, hogy melyik számítógépről jön a próbálkozás. Eze(ke)n a számítógépe(ke)n aktív Conficker fertőzés van, tehát erre telepíteni kell a Microsoft javítást, valamint le kell futtatni az eltávolító eszközt.

További vírusmentes környezetet kíván
a VirusBuster csapat!