Червь Conflicker/Downadup заразил почти девять миллионов компьютеров (рекомендации по удалению)

Червь Conflicker/Downadup заразил почти девять миллионов компьютеров (рекомендации по удалению)

По данным F-Secure,  уже насчитывается почти 9 миллионов систем, зараженных червем Conflicker.B/Downadup.B. Пик активности пришелся на январь 2009. По данным F-Secure, на 13 января количество заражений составляло 2,4 миллиона хостов, 14 января – 3,5 млн., а на следующий день уже 8,9 млн.

Conflicker.B/Downadup.B является одним из самых популярных червей, которые эксплуатируют уязвимость в службе Server в ОС Microsoft Windows. Корпорация Microsoft выпустила исправление (MS08-067) к этой уязвимости еще в октябре 2008 года, однако уязвимость продолжает активно эксплуатироваться злоумышленниками. Механизм работы червя является стандартным для современного вредоносного ПО. В день регистрируется 250 возможных доменных имен, которые используются для связи с контрольным сервером. F-Secure зарегистрировала несколько доменом из общего пула и следит за подключениями к этим доменам.

Определить, заражен ли компьютер, можно, попытавшись зайти на сайты f-secure.com или kaspersky.ru. Downadup блокирует эти адреса.

Рекомендации "Лаборатории Касперского" по удалению

(Полная версия: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725)

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке: www.kaspersky.ru

либо выполните следующие действия:

   1. Удалить ключ системного реестра:

      [HKLMSYSTEMCurrentControlSetServices etsvcs]

   2. Удалить строку "%System%<rnd>.dll" из значения следующего параметра ключа реестра:

      [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"

   3. Перезагрузить компьютер

   4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

   5. Удалить файл:

      %System%<rnd>.dll, где <rnd> - случайная последовательность символов.

   6. Удалить следующие файлы со всех съемных носителей:

      <X>:autorun.inf

      <X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.

   7. Скачать и установить обновление операционной системы по следующей ссылке: www.microsoft.com

   8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию: http://www.kaspersky.ru/trials).

www.ITSec.ru