Risorse per la rimozione di Conficker.D

Nelle ultime ora sta crescendo la preoccupazione in rete per un possibile aumento di traffico previsto per domani e legato alle possibili attività che il worm Conficker.D potrebbe iniziare proprio il 1 aprile (download di malware addizionale sulle macchine già infette).

Il worm si può propagare se un sistema:

  1. è sprovvisto di patch MS08-067 (958644);
  2. ha delle share aperte in scrittura;
  3. ha delle utenze locali con password deboli ;
  4. con la funzionalità Autorun attiva, viene connesso a dispositivi rimovibili (chiavette USB, hard disk esterni) preventivamente infettati ;
  5. il worm utilizza le credenziali dell'utente loggato sul sistema infettato per tentare di propagarsi accedendo alla share di sistema ADMIN$ del sistema che intende infettare: quindi, per esempio, se si infetta un sistema su cui è loggato un Domain Administrator, questo sistema è in grado di infettare tutti i sistemi che fanno parte dello stesso dominio. Questo veicolo è quello che probabilmente giustifica il maggior impatto di questa infezione in ambito aziendale rispetto agli utenti finali.

Per affrontare il problema nel modo corretto, senza sottovalutarlo ma anche senza generare ulteriori allarmismi, vi consiglio di visitare i link di approfondimento che trovate qui sotto:

Come sempre, tenere i sistemi aggiornati, utilizzare password complesse, limitare per quanto possibile le operazioni eseguite con account con privilegi amministrativi riducono di molto il rischio di infezione dei nostri sistemi aziendali.

Vi ricordo che potete sfruttare gratuitamente il Malicious Software Removal Tool e Windows Live OneCare safety scanner per la rimozione di Conficker dai vostri sistemi aziendali e home.

Renato