Procedura je sledeca (primeni je bas ovim redosledom):
1. iskljuci system restore na svim Windows XP zarazenim racunarima (desni klik na My Computer, Properties, ides na System Restore tab, pa stikliras kucicu "Turn off System Restore on all drives" i potvrdis sa OK) - na Visti i Win 2003 to nije potrebno.
2. Na svim zarazenim racunarima primeni zakrpu MS08-067 (KB958644) (
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx) - moja preporuka je da ovo skines na "cistom" racunaru i narezes na CD i odatle instaliras na zarazene racunare, jer se conficker prenosi i putem USB flesheva i putem deljenih mreznih diskova
3. Sve zarazene racunare skini sa mreze (izvuci im mrezni kabel), ili ako na njima imas neki napredniji firewall, iz njega blokiraj sav mrezni saobracaj - ne vracaj ove racunare na mrezu sve dok ne ocistis i poslednji od njih
4. Iskljuci Task Scheduler service na svim zarazenim racunarima (Start > Run > kucas services.msc pa kliknes na OK, pronadjes na spisku Task Scheduler, kliknes desnim dugmetom na njega i odaberes Properties, pa promenis Startup type iz Automatic u Disabled, kliknes na Stop i kliknes na OK).
5. Iskljuci USB Autoplay na svim zarazenim racunarima (Start > Run > kucas gpedit.msc pa kliknes na OK, pod Computer Configuration otvoris Administrative Templates, pa pod njim otvoris System, u desnom prozoru kliknes desnim dugmetom misa na Turn off Autoplay i odaberes Properties, pa kliknes na Enable i u kucici ispod naslovljenoj sa "Turn off Autoplay" odaberi "All drives", i potvrdi sa OK. Ovo isto mozes odraditi i u User Configuration grani - procedura je skroz ista, ali nije toliko bitno jer Computer Settings imaju prioritet nad User Settigns. Ova operacija zahteva restart racunara da bi bila primenjena. Ako zelis, mozes u potpunosti blokirati pokretanje autorun.inf fajlova, za to imas uputstvo u mom postu u drugoj temi:
http://www.elitesecurity.org/p2249633
6. Uloguj se kao lokalni administrator (nemoj nikako kao domain admin) na zarazeni racunar
7. Pokreni alat za ciscenje (vec su ti ovde dali neke predloge, ja ti mogu jos preporuciti i Sophosov alta za ciscenje koji mozes preuzeti sa
https://secure.sophos.com/prod...-removal-tool-network/download - besplatan je, jedino moras da se registrujes na sajtu da bi ga skinuo). Posle toga instaliraj i azuriraj neki AV program, pa pokreni full scan
8. Spreci dalje sirenje ili reinfkeciju:
- siri se putem poznatog propusta u MS Windows sistemu za koji postoji zakrpa MS08-067 (link za skidanje je naveden gore); potrudi se da instaliras tu zakrpu na svaki sveze instalirani sistem pre nego sto ga povezes na mrezu i pre nego sto u njega ubodes neki USB flash uredjaj; da bi proverio da li je zakrpa instalirana, otvori Add/Remove Programs u Control Panelu, stikliraj kucicu "Show updates" pa potrazi KB958644
- instaliraj pouzdan AV program (izbegavaj free verzije i crackovane/patchovane AV programe - o ovome je vec bilo reci na drugim temama)
- prenosi se putem mreznih resursa, i to tako sto pokusava da provali lozinke - postavi jake lozinke na svim nalozima (min. 7 karaktera duzine, mala+velika slova, brojevi, spec. znaci), iako ce ti se vecina korisnika buniti zbog toga, ali reci da tako mora
- conficker kreira fajl sa slucajnim izmenom i ekstenzijom u system32 folderu, i pokrece ga preko Scheduled Task servisa u odredjenom trenutku - blokiraj sve servise na racunaru koji ti ne trebaju, ukljucujuci i Task Scheduler (ako ga ne koristis u neke druge svrhe, u tom slucaju mozes preko polise blokirati kreiranje novih jobova za neke grupe korisnika)
- pokusava da skine update sa nekoliko razlicitih vebsajtova - instaliraj i podesi neki firewall na klijentske racunare koji kontrolise odlazni saobracaj (problem sa Windowsovim firewallom na Win XP je sto kontrolise samo dolazni saobracaj)
[Ovu poruku je menjao valjan dana 09.07.2009. u 13:56 GMT+1]