- presentazione del sito
- Registrazione
- Eventi, mostre, convegni ed iniziative segnalate dalle aziende
- Recensioni ed articoli
- Le Mailing Lists
- La rivista Pc Ciechi
- Wiki
- Chi siamo
- Donazioni
- Un progetto degno di nota: Wintalbra
- Come navigare in questo sito
- rss
- Bancomat Accessibili sul territorio nazionale
- Contattaci
- I sostenitori di SpazioAusili
analisi e rimozione di conficker d
art. postato da m. martines su uic h.e.,31\03\2009, h. 16.42.
Il virus che negli ultimi mesi sta infettando la maggiorparte dei PC nel
mondo è l’oramai conosciutissimo Conficker.
Ed ora, un po' di pubblicità
:Giunto oramai alla versione “D” (conficher.D), il virus Conficker.D dovrebbe
attivarsi ed avere il suo “apice” nella giornata di domani Mercoledì 1
Aprile 2009 (non è un pesce d’ aprile).
Ora veniamo ai sintomi ed alla relativa guida per la rimozione del virus
nella sua ultima variante:
Il virus inizialmente attacca i sistemi che non hanno installato
l’aggiornamento di sicurezza MS08-067 e, una volta infettato il sistema,
proverà a diffondersi utilizzando degli attacchi di tipo “brute force”.
Questo tipo di attacco cercherà di crackare le password degli altri sistemi
e, una volta entrato, lo infetterà.
E’ fondamentale non loggarsi con utenze di amministrazione di Dominio in
quanto il virus riesce ad impersonare l’utente loggato ed utilizzare le sue
credenziali per infettare gli altri computer presenti in rete.
Per maggiori informazioni riguardo alla vulnerabilità e al bollettino
correttivo MS08-067, fate riferimento al post di Feliciano Intini.
Di seguito vediamo i sintomi e i principali metodi per mitigare il
diffondersi dell’infezione.
Sintomi
I principali sintomi per determinare se si è infetti sono:
Molti / Tutti gli account utente e amministratore iniziano ad essere
bloccati.
Per ottenere maggiori informazioni riguardo agli account bloccati è
disponibile l’Account Lockout Tools.
Automatic Updates, Background Intelligent Transfer Service, Windows Defender
e Error Reporting Server Services sono arrestati e disabilitati Errori
legati a SVCHOST I Domain Controller sono lenti nelle rispondere ai client
Congestione della rete interna Non è possibile accedere ai siti internet di
Windows Update e dei principali software antivirus Analisi dell’infezione
Tra i principali problemi che il virus causa abbiamo:
Blocco dei servizi di sicurezza: Windows Security Center Service (wscsvc),
Windows Update Auto Update Service (wuauserv), Background Intelligence
Transfer Service (BITS), Windows Defender (WinDefend), Error Reporting
Service (ersvc) e Windows Error Reporting Service (wersvc) Cancellazione
delle chiavi del registro di Windows Defender, Windows Security Center (WSC)
e la lista dei servizi della modalità provvisoria Blocco dell’accesso ai
principali siti internet dei produttori di software antivirus e
aggiornamento tramite un hook alla libreria DNSAPI.DLL Download di file a
partire dal 1° Aprile 2009 da 8 portali web di 100 nazioni tramite 500
indirizzi scelti random da 50’000. Dopo aver eseguito un download corretto,
rimane in sospeso per i successivi 4 giorni in caso contrario, il giorno
successivo proverà con altri 500 indirizzi.
Termine dei processi che contengono i nomi dei principali software di
pulizia e aggiornamento del Conficker eseguito ogni secondo.
Ad oggi, Microsoft e le altre società antivirus hanno identificato questo
tipo di attacco malware come indicato al sito Microsoft Malware Protection
Center.
Verificate le informazioni presenti nel link indicato sopra per poter
analizzare il modo utilizzato nella diffusione dell’infezione.
Inoltre è possibile che il sistema sia infettato da una diversa variante del
virus: verificate sempre al sito Microsoft Malware Protection Center
Rimozione automatica (consigliata)
Il modo migliore per rimuovere il virus è utilizzare l’Antivirus installato
nel sistema in quanto riduce i tempi di scansione e permette di limitare le
reinfezioni.
In caso non sia rilevabile, si può utilizzare il tool standalone Microsoft
Malicious Software Removal Tool disponibile gratuitamente ed entrambi in
grado di rilevare e rimuovere il virus e le sue varianti.
Un articolo spiega come distribuire il Microsoft Malicious Software Removal
Tool all’interno di una rete aziendale.
Un altro tool in grado di rilevare e rimuovere l’infezione è Standalone
System Sweeper che è parte del Microsoft Dekstop Optimization Pack 6.0
Infine, entrambe le versione di Windows Live OneCare e Forefront Client
Security
Rimozione manuale (in caso di varianti)
E’ disponibile un articolo che spiega come procedere nella rimozione manuale
del virus:
Virus alert about the Win32/Conficker.B worm
Prevenire la reinfezione
Verificare su tutti i client e server presenti in rete che i seguenti punti
siano stati eseguiti
Antivirus aggiornato in grado di rilevare il virus Win32/Conficker.B
Aggiornamento di sicurezza MS08-067 installato su tutti i server e client
Utilizzo delle password complesse degli amministratori locali e di dominio
Enforcing Strong Password Usage Throughout Your Organization Verificare che
l’autorun non sia attivo How to correct “disable Autorun registry key”
enforcement in Windows Verificare che non ci siano job anomali presenti nel
Task Schedule Verificare che tutte le ultime hotfix di sicurezza siano
installate correttamente Un ringraziamento a
Daniele Maso
