Как остановить распространение червя Kido (aka Downadup и Conficker)?

В данной статье Вы найдёте подробная пошаговая инструкция: как остановить распространение вируса-червя Win32/Conficker.B (также известный как W32.Downadup.B и Net-Worm.Win32.Kido) с помощью групповой политики.

Примечания:

- Эта процедура не удаляет вредоносную программу Conficker из системы, а позволяет только остановить ее распространение.

Чтобы удалить вирус-червь Conficker, необходимо воспользоваться антивирусной программой. Кроме того, чтобы выполнить удаление вручную, следуйте указаниям в статье Как удалить червя Conficker (aka Downadup и Kido) вручную?

- Внимательно ознакомьтесь с примечанием к действию 4, приведенным в описании этой процедуры.

Создайте новую политику, которая будет применяться для всех компьютеров определенного подразделения, сайта или домена, в зависимости от конкретной среды.

Для этого выполните указанные ниже действия:

1. Настройте политику на удаление разрешений на запись в следующий подраздел реестра:


Это позволит предотвратить создание в параметре реестра netsvcs вредоносной службы с произвольным именем.

Для этого выполните указанные ниже действия:

1.1. Откройте консоль управления групповыми политиками.

1.2. Создайте новый объект групповой политики и присвойте ему произвольное имя.

1.3. Откройте созданный объект групповой политики и перейдите в следующую папку:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Реестр

1.4. Щелкните правой кнопкой мыши элемент Реестр, а затем выберите команду Добавить раздел.

1.5. В диалоговом окне Выбор раздела реестра разверните узел Machine, а затем перейдите в следующую папку:

Software\Microsoft\Windows NT\CurrentVersion\Svchost

6. Нажмите кнопку ОК.

1.7. В появившемся диалоговом окне снимите флажок Полный доступ для группы Администраторы и System.

1.8. Нажмите кнопку ОК.

1.9. В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

1.10. Нажмите кнопку ОК.

2. Настройте политику на удаление разрешений на запись в папку %windir%\tasks. Это позволит предотвратить создание вредоносной программой Conficker назначенных задач, которые могут заразить систему повторно.

Для этого выполните указанные ниже действия:

2.1. В созданном ранее объекте групповой политики перейдите в следующую папку:

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Файловая система

2.2. Щелкните правой кнопкой мыши элемент Файловая система, а затем выберите команду Добавить файл.

2.3. В диалоговом окне Добавление файла или папки перейдите к папке %windir%\Tasks. Убедитесь, что пункт Задачи в диалоговом окне Папка: указан и выделен.

2.4. Нажмите кнопку ОК.

2.5. В появившемся диалоговом окне снимите флажки Полный доступ, Изменение и Запись для групп Администраторы и System.

2.6. Нажмите кнопку ОК.

2.7. В диалоговом окне Добавление объекта установите флажок Заменить текущие разрешения во всех подразделах наследуемыми.

2.8. Нажмите кнопку ОК.

3. Отключите функции автозапуска. Это позволит предотвратить распространение вредоносной программы Conficker через использование функций автозапуска, встроенных в систему Windows.

Для этого выполните указанные ниже действия.

3.1. В созданном ранее объекте групповой политики перейдите в одну из указанных ниже папок:

b) Для домена под управлением сервера Windows Server 2003:
Конфигурация компьютера\Административные шаблоны\Система

a) Для домена под управлением сервера Windows Server 2008:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Политики автозапуска

3.2. Откройте политику Отключить автозапуск.

3.3. В диалоговом окне Отключить автозапуск установите переключатель Включено.

3.4. В раскрывающемся меню выберите пункт Все диски.

3.5. Нажмите кнопку ОК.

4. Отключите локальную учетную запись администратора. Это позволит заблокировать атаки вредоносной программы Conficker, направленные на подбор пароля учетной записи администратора.

Примечание. Не выполняйте это действие, если объект групповой политики связан с подразделением контроллера домена, поскольку существует риск отключения учетной записи администратора домена.

Если это действие необходимо выполнить на контроллерах домена, создайте отдельный объект групповой политики, который не связывает объект групповой политики с подразделением контроллера домена, а затем свяжите созданный отдельный объект с подразделением контроллера домена.

Для этого выполните указанные ниже действия:

4.1. В созданном ранее объекте групповой политики перейдите в следующую папку:
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

4.2. Откройте элемент Учетные записи: Состояние учетной записи "Администратор".

4.3. В диалоговом окне Учетные записи: Состояние учетной записи "Администратор" установите флажок Определить политику.

4.4. Установите переключатель Отключено.

4.5. Нажмите кнопку ОК.

5. Закройте консоль управления групповыми политиками.

6. Свяжите созданный объект групповой политики с расположением, к которому его необходимо применить.

7. Подождите, пока групповая политика не будет обновлена на всех компьютерах. Обычно репликация групповой политики на каждый контроллер домена занимает пять минут. Последующая репликация на оставшиеся компьютеры занимает 90 минут. Продолжительность всего процесса не превышает двух часов. Однако в зависимости от среды может потребоваться больше времени.

8. После завершения распространения групповой политики очистите компьютеры от вредоносной программы. Для этого, запустите на всех компьютерах полную антивирусную проверку.

Примечание. Чтобы устранить последствия воздействия вредоносной программы, может потребоваться выполнить некоторые действия вручную. Для этого выполните действия, описанные в статье Как удалить червя Conficker (aka Downadup и Kido) вручную?

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.