Conficker féreg - hogyan előzzük meg a támadást?

A fentiek csak azokat a munkaállomásokat és szervereket érintik, amelyeken megtalálható a féreg valamely mutációja. A fertőzés és az esemény bekövetkezése megelőzhető amennyiben a gépek MS Windows operációs rendszere és vírusvédelmi szoftvere megfelelően karbantartottak és frissítettek. A Conficker féreg okozta károk elkerülése érdekében javasolt a vállalat hálózatában lévő gépek FOKOZOTT ellenőrzése, valamint a megfelelő megelőzési intézkedések megtétele. I. Megelőzés 1. Ellenőrizzük a Microsoft frissítések meglétét! A Conficker egy 2008-ben októberében ismertetett Windows sérülékenységet használ ki (958644), melyet az MS08-067 Windows update csomag javít. A sérülékenység javításának telepítése ELKERÜLHETETLEN. Bővebb információ az érintett Windows verziókról, javítócsomag telepítéséről és a sérülékenységről: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx 2. Ellenőrizzük a vírusvédelmi szoftverfrissítéseket! A Conficker fertőzés megakadályozható megfelelően frissített és beállított vírusvédelmi alkalmazással. A PiK-SYS Kft. által forgalmazott McAfee védelmi termékek 5549-nél (megjelenés időpontja: 2009.03.10.) nagyobb verziószámú DAT használatával előzhető meg a Conficker-fertőzés. 3. Egyéb intézkedések: - erős jelszavak használata; - ne lépjünk be gyanús gépről erős felhasználói jogosultsággal a hálózatba; - ne használjunk ismeretlen környezetben használt pendrive-okat, külső merevlemezeket; - figyeljük a gyanúsan megnövekedett hálózati forgalmat a 445-ös porton, - amennyiben lehetőségünk van, használjunk host / network IPS és / vagy tűzfal alkalmazásokat, mivel ezek segítik Conficker féreg felfedezését! A Conficker B és újabb variánsai több fertőzési vektorral is rendelkeznek, autorun.inf fájlokkal pendrive-okon és egyéb cserélhető lemezeken, valamint távoli megosztott mappákon is próbálnak terjedni jelszótörést alkalmazva. 4. Fokozottan ellenőrizzük a McAfee központi felügyeleti rendszerében a Conficker féreggel kapcsolatos bejegyzéseket! A korábban megfertőződött gépeken győződjünk meg a tisztítás sikerességéről! II. A fertőzés tünetei Conficker fertőzés gyanúja merül fel, amennyiben a következő jelenségek észlelhetőek: - gyanús forgalom a 445-ös porton (olyan gépeknél amelyek nem Directory Services szerverek); - admin megosztások elérhetetlenek mivel a Conficker túl sokszor próbált sikertelenül belépni; - autorun.inf állományok a recycled mappában; - IT biztonsági weboldalak elérhetetlenek; - gyanús ütemezett feladatok láthatóak a Scheduled Tasks-ban; - dir /ah parancs gyanús .dll fájlokat mutat a %windir%\System32 mappában. A fertőzés pontos diagnosztizálásához a McAfee által közzétett Conficker felismerő és eltávolító segédprogram (letöltés: http://vil.nai.com/vil/conficker_stinger/Stinger_Coficker.exe) futtatását javasoljuk! III. Néhány tanács a kiterjedt fertőzés kezeléséhez Intézkedések a Conficker fertőzés megszüntetéséhez: 1. legújabb MS biztonsági frissítések telepítése; 2. a legfrissebb DAT fájlok meglétének ellenőrzése, telepítése; 3. futtassuk a McAfee által közzétett Conficker felismerő és eltávolító segédprogramot! A segédprogram letölthető: http://vil.nai.com/vil/conficker_stinger/Stinger_Coficker.exe További intézkedésekkel meggátolható a féreg terjedése nagyvállalati környezetben: A fertőzés ideje alatt kapcsoljuk be a következő Access Protection szabályokat (ePolicy Orchestrator 4.0 esetén: Systems / Policies / VirusScan Enterprise / Access Protection Policies): - AntiVirus Outbreak Control > Make all Shares Read-Only: Block - Common Maximum Protection > Prevent Creation of new executables in the Windows folder: Block - Új port szabály létrehozása a User Defined Rules kategóriában, ami figyeli a 139 és 445 portokat - Common Maximum Protection > Prevent Programs registering to Autorun: Block - AntiVirus Standard Protection > Prevent remote creation of Autorun files (ez utóbbit érdemes fertőzéstől függetlenül is bekapcsolni) Részletes információ a féreg összes verziójáról, valamint részletes .pdf formátumú útmutató az eltávolításáról, illetve know-how (angol nyelven) elérhető a következő linken: https://kc.mcafee.com/corporate/index?page=content&id=KB60909