Sicurezza – Aggiornamento riguardo al Worm Win32/Conficker.B


[Ultimo aggiornamento 20 Mar 2009 – 17:35] 


Maggiori informazioni riguardo la nuova variante Conficker.D sono disponibili in questo post:
Sicurezza – Aggiornamento riguardo al Worm Win32/Conficker.D


In questo periodo abbiamo identificato una nuova variante del virus Conficker.
Il virus inizialmente attacca i sistemi che non hanno installato l’aggiornamento di sicurezza MS08-067 e, una volta infettato il sistema, proverà a diffondersi utilizzando degli attacchi di tipo “brute force”.
Questo tipo di attacco cercherà di crackare le password degli altri sistemi e, una volta entrato, lo infetterà.
E’ fondamentale non loggarsi con utenze di amministrazione di Dominio in quanto il virus riesce ad impersonare l’utente loggato ed utilizzare le sue credenziali per infettare gli altri computer presenti in rete.


Per maggiori informazioni riguardo alla vulnerabilità e al bollettino correttivo MS08-067, fate riferimento al post di Feliciano Intini.


Di seguito vediamo i sintomi e i principali metodi per mitigare il diffondersi dell’infezione.


Sintomi


I principali sintomi per determinare se si è infetti sono:



  • Molti / Tutti gli account utente e amministratore iniziano ad essere bloccati.
    Per ottenere maggiori informazioni riguardo agli account bloccati è disponibile l’Account Lockout Tools.

  • Automatic Updates, Background Intelligent Transfer Service, Windows Defender e Error Reporting Server Services sono arrestati e disabilitati

  • Errori legati a SVCHOST

  • I Domain Controller sono lenti nelle rispondere ai client

  • Congestione della rete interna

  • Non è possibile accedere ai siti internet di Windows Update e dei principali software antivirus

Ad oggi, Microsoft e le altre società antivirus hanno identificato questo tipo di attacco malware come indicato al sito Microsoft Malware Protection Center.
Verificate le informazioni presenti nel link indicato sopra per poter analizzare il modo utilizzato nella diffusione dell’infezione.
Inoltre è possibile che il sistema sia infettato da una diversa variante del virus: verificate sempre al sito Microsoft Malware Protection Center


Rimozione automatica (consigliata)


Il modo migliore per rimuovere il virus è utilizzare l’Antivirus installato nel sistema in quanto riduce i tempi di scansione e permette di limitare le reinfezioni.


In caso non sia rilevabile, si può utilizzare il tool standalone Microsoft Malicious Software Removal Tool disponibile gratuitamente ed entrambi in grado di rilevare e rimuovere il virus e le sue varianti.


Un articolo spiega come distribuire il Microsoft Malicious Software Removal Tool all’interno di una rete aziendale.


Un altro tool in grado di rilevare e rimuovere l’infezione è Standalone System Sweeper che è parte del Microsoft Dekstop Optimization Pack 6.0


Infine, entrambe le versione di Windows Live OneCare e Forefront Client Security


Rimozione manuale (in caso di varianti)


E’ disponibile un articolo che spiega come procedere nella rimozione manuale del virus:
Virus alert about the Win32/Conficker.B worm


Prevenire la reinfezione


Verificare su tutti i client e server presenti in rete che i seguenti punti siano stati eseguiti



Posterò aggiornamenti in caso di modifiche o novità riguardo a questo virus.


Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platforms Support

Comments (121)

  1. Anonymous says:

    Ciao grenzo,

    ho aggiornato la procedura di rimozione manuale che esclude l’utilizzo del GMER.

    I task sono riceati perchè un altro server infetto accede alla Admin$ dei PC da infettare e crea il task.

    Segui i punti descritti nel post per contenere l’infezione.

    Grazie e Buona giornata.

  2. Anonymous says:

    Ciao Massy,

    Windows LiveOne Care Safety Scanner è un tool online che utilizza un ActiveX per eseguire la scansione nel computer.

    Quindi non installa nessun componente residente che può andare in conflitto con i programmi antivirus già installato sulla macchina.

    Considera che se hai già il Norton Antivirus installato, ti consiglio di aggiornarlo e di eseguire una scansione approfondita del computer.

    Grazie e Buona giornata.

  3. Anonymous says:

    Ciao Francesco,

    ho aggiornato il post includendo il link.

    Grazie e Buona giornata.

  4. Anonymous says:

    Ciao grenzo,

    si i comandi indicati posso essere inseriti come Script di Logon (ovvero eseguiti in fase di logon degli utenti) oppure come Script di Startup (ovvero eseguiti in fase di accensione del computer).

    Per quanto riguarda le share disponibili puoi provare a lanciare il seguente comando:

    wmic share get caption,name,path

    oppure se WMI ha problemi, questo:

    net view \%computername% /all

    Grazie e Buona giornata.

  5. Anonymous says:

    Grazie mille… provo immediatamente.

  6. Anonymous says:

    Ciao grenzo,

    conviene fare entrambe le cose.

    Cancellare tutti i task che potrebbero essere infetti con il comando:

    del %windir%Tasks*.job

    e arrestare il servizio Task Scheduler:

    net stop schedule

    Infine puoi impostare il servizio in disable in modo che non si avvii automaicamente:

    sc config schedule start= disabled

    Grazie e Buona giornata.

  7. Anonymous says:

    Ciao linuxmc,

    se trovi i server infetti solo dopo pochi minuti dopo la pulizia, vuol dire che c’è un altro server o un client con utente domain admin loggato che è infetto e propaga l’infezione agli altri.

    Ti consiglio di verificare che AV sia in grado di riconoscere e pulire il virus in modo da limitare la reinfezione: questo punto è fondamentale.

    Cambia le password dei Domain Admin e Local Admin, verifica che siano complesse e riduci al minimo gli utenti domain admin loggati sui server o client se non sei sicuro che siano puliti.

    Per limitare la reinfezione, ti consiglio di disattivare il servizio Task Schedule o in altenativa rimuovere temporaneamente la share admin$

    Grazie e Buona giornata.

  8. Anonymous says:

    Ciao Francesco,

    sui Domain Controller puoi utilizzare solo utenza Amministrazione.

    Ed è per questo che per eseguire la pulizione è consigliabile disattivare il servizio Server per limitare la diffusione.

    In tutti gli altri server è invece consigliabile usare utente di amministrazione locale in quanto il virus anche utilizzando quelle credenziali non riuscirà ad accedere agli altri server.

    Per il cambio delle password, sarebbe altamente consigliato modificarle per amministratori locali e di dominio utilizzando password complesse.

    Grazie e Buona giornata.

  9. Anonymous says:

    Ciao Anna,

    il virus utilizza la vulnerabilità di Internet Explorer MS08-067 per diffondersi. Se la vulnerabilità è già stata chiusa, prova con Admin$ degli altri PC presenti in rete.

    Un altro metodo di infezione è costituito da un file Autorun.inf infetto che contiene il virus e che può infettare anche altri PC "senza rete".

    Questi sono i metodi utilizzati per infettare i computer al momento.

    Grazie e Buona giornata.

  10. Anonymous says:

    Ciao orione,

    Riguardo a trendmicro, puoi trovare un po’ di informazioni sui virus conosciuti a questo indirizzo:

    http://www.trendmicro.com/vinfo/

    La variante del Conficker per TrendMicro è chiamata "Downad.AD" rilevata il 30 Dicembre:

    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD

    Per quanto riguarda Symantec, abbiamo queste infezioni:

    http://www.symantec.com/norton/security_response/threatexplorer/threats.jsp

    Grazie e Buona giornata.

  11. Anonymous says:

    Ciao Massimiliano,

    verifica quale tipo di errore ti è restituire durante l’installazione dell’aggiornamento.

    Nei computer dove hai il problema, prova a loggarti con le credenziali di Admin locale, rinomina il nome del file del MSRT per escludere che sia la variante D ovvero in grado di rilevare e arrestare i processi contenenti il nome della KB.

    Se riesci a navigare in internet, prova a collegarti sul sito:

    http://onecare.live.com/site/it-it/default.htm

    ed esegui una scansione online del computer.

    Esistono anche tool standalone che permettono di rimuovere correttamente il virus prodotti dai principali antivirus.

    Verifica inoltre di aver riavviato il client dopo la pulizia con GMER in modo da scaricare dalla memoria la DLL contenente il virus (possibilmente tenendo il client scollegato dalla rete per evitare reinfezioni).

    Grazie e Buona giornata.

  12. Anonymous says:

    Ciao Livio e grenzo,

    purtroppo non esiste un modo automatico per verificare che l’infezione sia presente.

    Un indizio può essere la presenza dei file AT*.JOB nella cartella %windir%Tasks ma non implica che il server sia effettivamente infettato.

    In caso di blocco del servizio Server, il tool TCP View può aiutare ad individuare la fonte dell’infezione.

    Grazie e Buona giornata.

  13. Anonymous says:

    Ciao Michele,

    L’errore SAM in genere è loggato quando c’è un tentativo di lock su un account ma questo non può essere locked out, come nel caso degli amministratori.

    In pratica il processo rileva dei tentativi di logon errati e cerca di bloccare l’account, ma questo non può essere locked quindi l’errore SAM.

    Verifica questo articolo per maggiori informazioni:

    KB 887433

    User accounts are unexpectedly locked, and event ID 12294 is logged in Windows Server 2003

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;887433

    Molto probabilmente hai ancora l’infezione presente su qualche server o client con amministratore loggato.

    Grazie e Buona giornata.

  14. Anonymous says:

    Ciao grenzo,

    il tool funziona se la macchina è infetta ed è in grado di rimuoverlo.

    Come hai indicato tu, Trend ha riconosciuto il virus perchè un altro PC infetto è riuscito a collegarsi tramite admin$ e copiare il virus nella cartella di sistema.

    Ti consiglio di schedulare una scansione completa dei PC presenti nella rete con il Microsoft Malicious Software Removal Tool in modo da essere sicuro che non ci siano macchine infette.

    Grazie e Buona giornata.

  15. Anonymous says:

    Ciao grenzo,

    come riportato nel post, vedi aprire i file con il notepad e verificare che siano dei file TXT validi e non contengano link a programmi sconosciuti o siano loro stessi dei virus nascosti da "autorun.inf".

    Grazie e Buona giornata.

  16. Anonymous says:

    Ciao Francesco,

    si come riportato nel post "Il malware impersona l’utente loggato interattivamente e accede alle risorse di rete usando queste credenziali." quindi è fondamentale sloggare tutti gli amministratori di dominio dai server e usare dove possibile utenti locali.

    Grazie e Buona giornata.

  17. Anonymous says:

    Ciao Grenzo,

    per quanto l’antivirus Trend non ti posso aiutare in quanto non è sviluppato da Microsoft. Quelli sviluppati direttamente da Microsoft sono Forefront (enterprise):

    http://www.microsoft.com/italy/server/forefront/default.mspx

    e OneCare (client):

    http://www.microsoft.com/italy/windows/onecare/default.mspx

    Per maggiori informazioni riguardo GMER, fai riferimento al sito ufficiale:

    http://www.gmer.net/faq.php

    Consiglio di abilitare il file di log come indicato nell’ultima domanda.

    Grazie e Buona giornata.

  18. Anonymous says:

    Ciao Francesco,

    il virus utilizza la vulnerabilità risolta dall’aggiornamento MS08-067 come primo tentativo per la diffusione.

    Se questa è risolta, prova con l’accesso alla share Admin$ degli altri computer presenti in rete cercando di forzare le password degli utenti.

    Quindi anche un solo computer infettato nella rete continuerà ad infettare gli altri.

    Il consiglio è quello di disabilitare il servizio Server durante la pulizia dei server e periodicamente controllare la presenza di job nel "Task Scheduler" con il nome AT*.job come indicato nel post.

    Utilizzando poi utenti locali con password sicure, si ridurranno i rischi di infezione interna da un computer ad un altro in quanto non riuscirà ad entrare sulla share Admin$

    Grazie e Buona giornata.

  19. Anonymous says:

    Ciao grenzo,

    solo se hai disattivato anche il servizio "Server" che gestisce l’accesso alle share di rete.

    Grazie e Buona giornata.

  20. Anonymous says:

    Ciao Franesco,

    grazie per aver condiviso lo script.

    Ovviamente come Microsoft non possiamo garantire il corretto funzionamento ed è da utilizzare "AS IS" senza alcuna garanzia come indicato nella sezione "Copyright".

    Grazie e Buona giornata.

  21. Anonymous says:

    Ciao grenzo,

    Qui è spiegato come abilitare audit per logon/logoff

    http://technet.microsoft.com/en-us/library/cc736727.aspx#Enable_Logon_Failure_Auditing

    Per quanto riguarda Trend, devi sentire direttamente loro perchè non ho contatti diretti.

    Grazie e Buona giornata.

  22. Anonymous says:

    Ciao Grenzo,

    per creare uno script di Startup fai riferimento alla guida presente sul technet:

    Assign computer startup scripts

    http://technet.microsoft.com/en-us/library/cc779329.aspx

    Grazie e Buona giornata.

  23. Anonymous says:

    Ciao Carbone,

    il tipo di comportamento che hai riportato non riguarda Conficker.B o una sua variante.

    Ti consiglio di eseguire una scansione online del tuo computer tramite questo sito web:

    Windows Live OneCare Safety scanner

    http://onecare.live.com/site/it-it/default.htm

    e di affidarti ad un antivirus robusto come OneCare o ForeFront.

    Grazie e Buona giornata.

  24. Anonymous says:

    Ciao Lucas,

    il Task Schedule lo puoi bloccare da "Pannello di Controllo" –> "Servizi" –> "Task Scheduler"

    I task bloccati sono solo quelli che trovi nella cartella C:WindowsTasks

    Il sistema operativo continuerà a funzionare correttamente.

    Considera che ormai quasi tutti gli antivirus aggiornati sono in grado di rilevare correttamente la presenza del virus anche nella cartella Tasks.

    Grazie e Buona giornata.

  25. Anonymous says:

    Ciao Davide, grazie per la segnalazione.

    Considera che in ambienti di produzione bloccare le porte 445 e 135 su tutti i server di produzione può portare ad errori anche gravi di funzionamento dell’intera rete.

    In più non possiamo garantire un corretto funzionamento di programmi di terze parti non sviluppati direttamente da Microsoft.

    Grazie e Buona serata.

  26. Anonymous says:

    Ciao Dario,

    il virus che hai indicato è un altro tipo. L’elenco dei nomi dato al virus dalle varie società di Antivirus lo trovi qui:

    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.B

    Per avere maggiori informazioni esegui una ricerca nella sezione Security del sito Microsoft:

    http://www.microsoft.com/security/portal/SearchResults.aspx?query=win32%2Fautorun-rx

    Grazie e Buona giornata.

  27. Anonymous says:

    Ciao Grenzo,

    Per quanto riguarda la rimozione del file da parte di GMER, puoi procedere come indicato nel post in quanto sarà cancellato solo il file che contiene il virus e non il programma svchost.exe.

    Per quanto riguarda Trend OfficeScan, ti consiglio di eseguire l’aggiornamento manuale se non riuscisse ad aggiornarsi automaticamente in modo da poter essere protetto dalle ultime versioni del virus.

    Per le informazioni riguardo SSDT è una tabella utilizza dal sistema operativo per gestire le chiamate da user mode a kernel mode: System Service Descriptor Table.

    In questo modo un malware modificando la tabella può intercettare tutte le chiamate verso il kernel, dirottarle al suo codice e modificarne il comportamento.

    Non può essere rimossa ma solo ripristinata ai valori di default.

    Grazie e Buona giornata.

  28. Anonymous says:

    Ciao grenzo,

    Puoi utilizzare il comando:

    gpresult /s %computername% /r

    Oppure più semplicemente verificare su quali computer è presente la share admin$ oppure verificare lo stato dei servizi che hai disabilitato:

    sc \%servername% query %servicename%

    Grazie e Buona giornata.

  29. Anonymous says:

    Ciao Massy,

    per quanto riguarda il Conficker.B puoi utilizzare i tool descritti nella sezione "Rimozione automatica (consigliata)".

    In particolare un metodo veloce per essere sicuro che il computer non sia infetto è quello di utilizzare il Microsoft Malicious Software Removal Tool che trovi a questo indirizzo:

    http://www.microsoft.com/security/malwareremove/default.mspx

    Infine, è importante avere un antivirus aggiornato e le ultime patch di sicurezza rilasciate per il sistema operativo in modo da non essere esposto a reinfezioni future come descritto nella sezione "Prevenire la reinfezione".

    Grazie e Buona giornata.

  30. Anonymous says:

    Ciao Mark,

    Ho girato il tuo commento al team che sviluppa il programma.

    Sarebbero interessati a contattarti.

    Puoi scriverci tramite questa pagina:

    http://blogs.technet.com/itasupport/contact.aspx

    Grazie e Buona giornata.

  31. Anonymous says:

    Ciao Paolo,

    I metodi di reinfezione dopo l’aggiornamento di sicurezza è descritto a questo indirizzo (sezione "Analysis"):

    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

    Come vedi una volta chiusa la vulnerabilità, il virus proverà ad accedere con le credenziali dell’utente loggato prima e con attacchi forza bruta poi, alla share Admin$ di tutti i computer identificati in rete.

    Se l’attacco va a buon fine, sarà ricreata la DLL del virus nella cartella C:WindowsSystem32

    Per questo è fondamentale che tutti i server già puliti abbiano l’antivirus aggiornato con ultima definizione e motore di scansione realtime in grado di rilevare il Conficker e rimuoverlo.

    Questo permette di bloccare la reinfezione delle macchine già pulite.

    Grazie e Buona giornata.

  32. Anonymous says:

    Ciao Massy,

    è possibile eseguire il Microsoft Malicious Software Removal Tool su un computer che ha installato l’antivirus in quanto è un programma standalone che non rimane attivo al termine dell’esecuzione.

    Questo tipo di scansione è eseguita automaticamente ogni mese durante l’aggiornamento del sistema tramite Windows Update.

    Un altra soluzione può essere quella di utilizzare la scansione gratuita online di Windows Live OneCare Safety scanner disponibile al seguente indirizzo:

    http://onecare.live.com/site/it-it/default.htm

    Grazie e Buona giornata.

  33. Anonymous says:

    Ciao grenzo,

    rimuovere l’Admin$ permette di limitare l’infezione interna tra i vari computer.

    Al punto 2 è consigliato disabilitare il servizio "Task Schedule" in modo che l’altro metodo di infezione ovvero quello tramite "AT*.job" non potrà attivarsi.

    Infatti al punto 31 è indicato di rimuovere tutti i job schedulati.

    Grazie e Buona giornata.

  34. Anonymous says:

    Ciao a tutti,

    ci sono stati dei problemi nella pubblicazione dei commenti che sembrano rientrati.

    Grazie e Buona giornata.

  35. Anonymous says:

    Ciao 10nico,

    Ti consiglio di confrontare i permessi sulla chiave di registry utilizzata per modificare la visualizzazione dei file.

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

    Un altro consiglio è di verificare i valori impostati su un client che non presenta il problema.

    Infine puoi utilizzare il Process Monitor per vedere le chiavi che sono modificate nel momento in cui attivi o disattivi l’opzione di visualizzazione dei file nascosti:

    http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

    Grazie e Buona giornata.

  36. Anonymous says:

    Ciao Giovanni,

    Il virus va a modificare molte chiavi di registry e quindi non ci è possibile a priori sapere come ripristinare il Sistema Operativo.

    Per il problema specifico, puoi risolvere in questo modo.

    1) Pulsante Start –> Esegui –> REGEDIT

    2) Spostati nella seguente chiave HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced

    3) Nel pannello di destra, fai doppio click sulla chiave "Hidden" e imposta il valore a "1" per visualizzare i file nascosti.

    Grazie e Buona giornata.

  37. Anonymous says:

    Ciao Michele,

    se hai un case aperto, puoi contattarci tramite il numero di supporto tecnico: 02 70398 398

    oppure scriverci con il numero di referimento della SR tramite questa pagina:

    http://blogs.technet.com/itasupport/contact.aspx

    Grazie e Buona giornata

  38. Anonymous says:

    Ciao Stefano,

    grazie per aver condiviso lo script.

    Questo limita la diffusione del virus agli altri server in quanto viene rimosso il task che installerà il virus sui server indicati.

    Successivamente bisogna procedere alla pulizia dei server di origine che creano i file AT*.job e che risultano ancora infettati.

    Grazie e Buona serata.

  39. Anonymous says:

    Ragazzi, scusatemi. Vorrei capire una cosa….

    qual’è la soluzione migliore per la rimozione del virus, e soprattutto impedire che i sistemi si reinfettino ??? Fare una scansione/rimozione con antivirus rimuove il virus ma non sempre le chiavi di registro e i processi. E’ meglio utilizzare la procedura manuale, in modo da proteggere anche le modifiche alle chiavi ? grazie a tutti

  40. Anonymous says:

    Ciao Stefano,

    grazie per le informanzioni: aggiorno il post in modo da includere anche quel tool.

    Grazie e Buona giornata.

  41. Anonymous says:

    Ciao moz,

    per poter eseguire Windows Update devi verificare che il servizio sia abilitato. Fai un confronto dello stato dei servizi tra il client che presenta il problema con uno pulito.

    Ciao linuxmc,

    inizia con hotfix MS 08-067

    Assicurati che l’antivirus sia aggiornato e in grado di riconoscere il virus

    Per quanto riguarda la diffusione interna, conviene disattivare il servizio server e schedule come indicato nello script.

    I server conviene pulirli manualmente, mentre per i client lo script funziona correttamente ed è distribuibile velocemente.

    Grazie e Buona giornata.

  42. Anonymous says:

    Ciao grenzo,

    Uno dei metodi utilizzati per diffondere l’infezione avviene tramite l’accesso alla share admin$ ai computer collegati in rete.

    Per poterla rimuovere, anche se è presente nella procedura ufficiale del post, devi eseguire il seguente comando:

    net share admin$ /delete

    come consigliato da Roberto alcuni messaggi sopra.

    Se vuoi che il comando sia eseguito su tutti i computer devi impostare uno "Startup script" a livello di dominio e riavviare i PC, oppure eseguire il comando da remoto con PSEXEC:

    http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

    Considera comunque che al successivo riavvio, se non ha impostdato nessuno script di startup, la share ADMIN$ sarà ricreata automaticamente.

    Grazie e Buona serata.

  43. Anonymous says:

    Attualmente Forefront è in grado di rilevare le ultime varianti di Conficker e rimuoverle dal sistema. Se hai già eseguito la pulizia del server è normale che non identifichi più il servizio.

    Verifica inoltre di avere l’ultima versione delle definizioni antivirus disponibili a questo indirizzo:

    http://www.microsoft.com/security/portal/

    Considera che altri server infettati nella rete possono ridistribuire il virus su dei server già puliti e per questo è fondamentale seguire i punti indicati nel post per ridurre il diffondersi dell’infezione.

    Grazie e Buona giornata.

  44. Anonymous says:

    Ciao grenzo,

    come riportavo nei commenti del 7 Gennaio, risulta complesso capire l’utente con cui prova ad accedere al server in quanto è un attacco di tipo forza bruta.

    E’ più semplice capire il server di origine dell’attacco utilizzando il tool di TCP View che trovi a questo indirizzo:

    http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

    Inoltre puoi utilizzare anche il comando NETSTAT -ONA per visualizzare le statistiche sulle connessioni attive.

    Grazie e Buona giornata.

  45. Anonymous says:

    Ciao Grenzo,

    dipende da quale antivirus stai utilizzando: ForeFront e OneCare sono in grado di rimuovere il virus in maniera corretta.

    Come indicato in procedura è consigliato riavviare il server e verificare che non ci siano task schedulati da parte di altri server infettati nella rete.

    Grazie e Buona giornata.

  46. Anonymous says:

    Ciao Lucas,

    è corretto mettere quello script come policy di "startup" in modo che sia eseguito all’accensione del computer e non al "logon" ovvero quando poi l’utente accede alla macchina.

    Grazie e Buona giornata.

  47. Anonymous says:

    Ciao Mark,

    Grazie per la segnalazione.

    Eseguo un po’ di verifiche interne e ti aggiorno il prima possibile.

    Grazie e Buona giornata.

  48. Anonymous says:

    Ciao Schiaccianoci,

    Verifica che effettivamente sia presente quel tipo di virus eseguendo una scansione con Windows Live OneCare Safety scanner disponibile gratuitamente online a questo indirizzo:

    http://onecare.live.com/site/it-it/default.htm

    Inoltre, ti consiglio di controllare se nel "Task Scheduler" sono presenti dei job come indicato nell’articolo.

    Grazie per la collaborazione e Buona giornata

  49. Anonymous says:

    Ciao a tutti,

    vi segnalo questo tool sviluppato da F-Secure da provare per rimuovere il virus in maniera automatica:

    http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

    Considerate che è in beta e quindi non supportato in caso di problemi.

    Grazie e Buona giornata.

  50. Anonymous says:

    Ciao Francesco,

    risulta complesso capire l’utente con cui prova ad accedere al server in quanto è un attacco di tipo forza bruta.

    E’ più semplice capire il server di origine dell’attacco utilizzando il tool di TCP View che trovi a questo indirizzo:

    http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

    Inoltre puoi utilizzare anche il comando NETSTAT -ONA per visualizzare le statistiche sulle connessioni attive.

  51. Anonymous says:

    Ciao Claudio,

    Come indicato nel post, il virus arresta o disabilita alcuni servizi fondamentali del server ed è per questo che il modo migliore per rimuoverlo è tramite Antivirus installato nel server o il tool di scansione online offerto da Microsoft.

    Per quanto riguarda gli altri problemi è necessario avere i dati del server. Quindi ti consiglio di contattare il nostro supporto tecnico come spiegato in questa pagina:

    http://support.microsoft.com/default.aspx?ln=it

    Grazie e Buona giornata.

  52. Schiaccianoci says:

    su macchina infetta GMER non mi rileva nessun servizio nascosto… bisogna prima rimuovere il driver che lo nasconde? dall’articolo avevo capito non fosse necessario.

    Help!

  53. schiaccianoci says:

    si si, nel task scheduler sono presenti task at1 at2 etc… (anzi: erano presenti ora li ho rimossi)

    forefront mi identifica conficker.b.

    Category:

    Worm

    Description:

    This program is dangerous and self-propagates over a network connection.

    Advice:

    Remove this software immediately.

    Programs that may compromise your privacy or damage your computer were detected. You can still access the file without removing the threat, although this is not recommended. To do so, select "Always Allow" as the action and click the "Apply Actions" button. If this option is not available, log on as an administrator or ask an administrator for help.

    Detected by:

    Definition file

    Resources:

    file:

    C:WINDOWSsystem32jfwnog.wi

    niente servizio nascosto. forse ho una variante? ho letto che si autoaggiorna via internet (la navigazione dai server è bloccata da qualche giorno)

  54. grenzo says:

    Nel Server 2003 Enterprise ha trovato viugljel. Al tentativo di rimozione mi avverte : This Action might Crash…

    Vado avanti?

  55. grenzo says:

    Sempre nel 2003 Enterprise mi trova varie righe Type:SSDT che non possono essere rimosse ma solamente : Restore SSDT, cosa sono?

    Grazie

  56. grenzo says:

    No, ho il TREND OFFICESCAN ma non si aggiorna, e’ il GMER che trova viugljel. Se vado aventi nella rimozione mi dice: Are you sure you want to delete service file "viugljel" – "C:WindowsSystem32svchost.exe". Vado avanti? svchost.exe e’ un servizio fondamentale di Windows?  puo’ essere compromesso?

  57. grenzo says:

    Ok, grazie 1000, ma tu sai come si fa la scansione manuale di Trend? Nel sito non ho trovato spiegazioni decenti, cmq utilizzo l’ultimo pattern ed il programma sysclean.com il quale lancia il programma DOS VSCANTM che si dichiara pero’ compatibile con le piattaforme: 9x/Me/NT/2000/XP ma niente 2003.

    Esiste un buon Antivirus che abbia una buona assistenza?

    grazie ancora

  58. grenzo says:

    Ho qualche problema con GMER: lanciandolo su qualche server mi dice:

    Create File: "C:Documents and SettinggsAdministratorWindowsSystem32driversgmer.sys":The system cannot find the path specified..

    Come mai? Su altri server ha funzionato…

  59. grenzo says:

    Grazie, esiste un blog/newsgroup possibilmente in italiano in cui si discute di Forefront? ( sarei fortemente interessato… )

    ciao e grazie

  60. Francesco Fabbri says:

    Salve.

    Questo virus tristemente famoso ha infettato tutta la nostra rete, client e server compresi! Trend Micro Officescan aggiornato trova il virus (come WORM_DOWNAD.AD) ma il problema e la diffusione continuano. Sto facendo girare il Windows Live OneCare Safety scanner su alcune macchine. In attesa del risultato, chiedo ai luminari:

    Ma se su tutti i nostri client e server risulta già installata la fix KB958644 (MS08-067) come mai il virus che sfrutta questa vulnerabilità continua a diffondersi ???

  61. Francesco Fabbri says:

    Grazie per la risposta tempestiva.

    Ho cambiato su alcuni Member Server e su alcuni pc la pwd del Administrator locale e il problema per il momento sembra tamponato.

    Ma sui Domain Controller come posso risolvere il problema? Mi tocca cambiare la password di tutti i Domain Admins?

    Grazie ancora per la disponibilità.

    Buon lavoro

    Francesco Fabbri

  62. Francesco Fabbri says:

    Per conoscenza, il problema si presenta anche dopo aver cambiato la password dell’ Administrator locale. Temo che ci sia qualche domain admins con password debole a questo punto.

    C’è modo di capire con quale utente il virus riesce a diffondersi?

    Sui Domain Controller vedo una miriade di Failure Audit di tipo Logon/Logoff.

    Grazie ancora.

    Francesco

  63. Francesco Fabbri says:

    Abilitando gli Audit di accesso al Logon e all’accesso degli oggetti su un PC ho visto che i task schedulati ATxxx.job  vengono creati usando le credenziali di Administrator di dominio, la cui password è sicuramente complessa e non contenuta nell’elenco evidenziato sul sito TrendMicro. A questo punto credo che il Virus o riesce ad intercettare le password con un keylogger o similare oppure sfrutta una macchina infettata in cui l’Administrator di dominio è loggato e si diffonde in rete usando il passthrough dell’autenticazione. Cosa ne pensate?

  64. Davide Lama says:

    Ragazzi, abbiamo lo stesso problema su server e workstation, circa 6000 unità. la prima pezza per bloccare il fenomeno a livello locale è chiudere brutalmente la porta 445 e la 135 con Windows Worms Doors Cleaner disponibile all’inidirizzo http://www.firewallleaktester.com/wwdc.htm. Funziona sia sui client Xp e 2000 che sui sistemi Server

  65. Davide Lama says:

    Si , mi rendo conto, infatti chiudendo le 2 porte che usa il worm almeno sui sistemi workstation riusciamo a tamponare. Sono d’accordo con il discorso in ambiente Server, infatti da questo punto di vista stiamo avendo non pochi problemi. Fortunatamente con l’utilizzo di  Windows Worms Doors Cleaner su Isa server infetto siamo riusciti a riaccedere a tutti i siti che ci aveva bloccaro il worm e di conseguenza tutte le macchine collegate via proxy 🙂

  66. claudio says:

    Ho eliminato sul client con Gmer il servizio nascosto ma dopo al riavvio non funzionano pi� decine di servizi , il copia/incolla , e m i ritrovo la macchina non pi� collegata in Workgroup ma in Dominio e senza possibilit� di cambiare le opzioni…

  67. Francesco Fabbri says:

    Vi consiglio di far girare sui PC tramite policy questo script per arginare la diffusione. Ovviamente le Schedulazioni sui PC non funzioneranno più!

    ********************************************************************

    if not exist %windir%SYSTEM32taskkill.exe copy \yourdomain.localsysvolyourdomain.localscriptsWORM_DOWNADtaskkill.exe %windir%SYSTEM32

    if not exist %windir%SYSTEM32sc.exe copy \yourdomain.localsysvolyourdomain.localscriptsWORM_DOWNADsc.exe %windir%SYSTEM32

    taskkill /IM rundll32.exe /F

    net stop schedule

    del %windir%TasksAT*.job

    sc config schedule start= disabled

    sc config ERSVC start= demand

    sc config BITS start= demand

    sc config WUAUSERV start= auto

    sc config WSCSVC start= auto

    ********************************************************************

    Buon lavoro

    Francesco Fabbri

  68. grenzo says:

    Esiste qualche tool di rimozione ? Il TREND adesso lo riconosce ( pattern 5.757 ) il GMER e’ stato passato ma le entry nello Schedule task si ricreano di continuo….L’ efftto si calma un po’ e poi si riscatena di nuovo…

    Grazie

  69. cjb5 says:

    Non c’è nessun driver che nasconde il servizio. Il file temporaneo che avete trovato è il driver utilizzato per la modifica del driver tcpip.sys al fine di sbloccare le connessioni nei sistemi Windows XP SP2

  70. stefano says:

    Non potendo fermare il servizio di schedulazione ho risolto brutalmente con un file batch del tipo:

    del c:windowstasksat*.*

    del \server1c$windowstasksat*.*

    del \server2c$windowstasksat*.*

    del \server3c$windowstasksat*.*

    schedulato ogni 5 minuti su uno dei server…

  71. Roberto says:

    per me spegnere il servizio server durante la pulizia era impensabile. così ho di fatto tolto solo lo share ADMIN$ con il comando:

    net share admin$ /delete

    tale share viene utilizzato dal virus per copiarsi sui sistemi sani per ora sembra funzionare e le macchine con ADMIN$ disabilitato mi restano pulite.

    NB: attenzione se riavviate lo share viene ricreato automaticamente dal sistema.

  72. Livio says:

    su una rete di molti client e server, monitorando i link principali con ids/ips posso sapere quali sono esattamente i pc infetti ?

  73. grenzo says:

    In effetti sarebbe estremamente utile sapere chi e’ infetto e va ad infettare gli altri pc, altrimenti non ne usciamo fuori… :-((

    grazie

  74. Ilario says:

    Non so se sia lo stesso, ad esempio gli utenti non risultano bloccati e non trovo nessun task schedulato, ma per il resto il comportamento coincide punto punto.

    Ho risolto con gmer cancellando il servizio nascosto su tutti i PC e su alcuni server ed ho bloccato la contaminazione. I servizi li ho ristabiliti manualmente perché se partono in automatico al prossimo riavvio il trojan si rigenera. Ho lasciato appositamente due server contaminati per verificare la tipologia di diffusione e in tre giorni c’è il servizio scvhost che lavora tantissimo assieme al processo lsass. Solo su un server gmer dà anche a me l’errore su: C:Documents and SettingsAdministratorWindowsSystem32driversgmer.sys.

  75. stefano says:

    Per controllare che macchine erano compromesse ho attivato l’audit sui Domain Controllers "audit account logon events" e "Audit logon events" sia come success che failure.

    Dopo i primi giorni di flood tramite brute force falliti (per capirsi in una rete da un centinaio di pc di cui 3/4 infetti su un’ora decine di migliaia di logon failure) tramite EventCombMT (di Microsoft?) selezionando i DC, log security, type failure audit, Event id 675 mi son via via passato tutti i pc che cercavano di loggarsi con password sbagliate.

    Ora toccando ferro vedo la fine del tunnel dopo 5 giorni di pulizie service pack e patch.

    Per la cronaca stamattina anche trend è uscita con un fixtool qua http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=Sn

    e esiste già la variante WORM_DOWNAD.AE

    Ciao

  76. grenzo says:

    Nell’ articolo si dice:

    Potrebbe esserci una voce nella seguente chiave di registro che avvia il malware e che deve essere rimossa

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

    io ho:

    C:WINDOWSsystem32ctfmon.exe

    devo rimuoverla?

    p.s. purtroppo la FIX di Trend non funziona, almeno da me…

    Grazie

  77. orione says:

    neanche a me ..e da stamatt alle 7 che sono al ced ..ho schedulato quello che brasa gli at* .. :((((

  78. stefano says:

    cftmon.exe dal sito microsoft:

    "Ctfmon.exe attiva il processore per l’input di testo (TIP, Text Input Processor) di Input alternativo utente e la barra della lingua di Microsoft Office." direi che non va cancellato dal run.

    Dico la mia esperienza-incubo:

    Essenziale è avere l’antivirus aggiornato sulla macchina, dopo di che la chiave di registro che ritengo più importante è

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost nella quale c’e’ netsvsc da modificare cancellando l’ultima voce che nelle macchine infette sono una serie di lettere a caso (una ricerca con google di tale voce se non dà risultati è quasi sicuro sia file random del virus)

    poi sul pannello servizi si rimette in automatico i servizi che disabilita il virus (tra i quaili windows update e bits) patch MS08-067, cancellazione dei comanti AT nello scheduler e riavvio. Per prima cosa passarsi i server poi le macchine con diritti amministrativi tipo ced o direzione. Chi avesse dischi mappati sui pc controllare che non ci sia un autorun di sistema e nascosto da qualche decina di kb sulla root di tale disco. Ho notato che avendo delle home folders sul server degli utenti, tipo la classica mappatura stile NT di U: sul server per gli utenti, l’autorun.inf infetto lo si puo’ cancellare dal server con classica una ricerca file (io ne ho trovati almeno una decina sulle home e l’antivirus non le rileva).

    Son 2 giorni che non ho richeste strane sul server avendo attivato l’audit delle password sbagliate e la situazione sembra risolta.

  79. dario says:

    Scusate vorrei sapere se questo virus è una variante o uguale a win32/autorun-rx che segnala la sophos perchè a quanto pare credo che faccia danni simili ma sfrutta un’ altra vulnerabilità cioè la LSASS descritta nel Microsoft Security Bulletin MS04-011. I sintomi sono active directory non più visualizzabile alcuni servizi apparentemente avviati non funzionano tipo: server, browser computer e accesso rete impossibile accedere da un altro computer con il desktop remoto forse per via di quei servizi ahh. e dominio inesistente o non disponibile. Il sistema Windows 2003 Server era con SP1 ho aggiornato tutto fino all’ ultimo fix ma il problema rimane. Ho fatto tutto quello che stato spiegato qui ma non trovo nessun riferimento.

  80. grenzo says:

    News sui tool di rimozione? E si che alla Trend, x esempio,  diamo una vagonata di $… 🙁

  81. grenzo says:

    Ciao

    Stefano dice:

    sul server per gli utenti, l’autorun.inf infetto lo si puo’ cancellare dal server con classica una ricerca file (io ne ho trovati almeno una decina sulle home e l’antivirus non le rileva).

    Basta cercare con Cerca –> File E cartelle –> nel campo Nome del file inserire : autorun.inf –> altre Opzioni avanzate [x] Cerca nei fil e nelle cartelle nascosti [x] Cerca nelle sottocartelle?

    Non trovo niente…:-(

    Poi:

    Son 2 giorni che non ho richeste strane sul server avendo attivato l’audit delle password sbagliate e la situazione sembra risolta.

    Come si attiva l’audit delle password sbagliate? Avete cambiato la password dell’amministratore di dominio?

    grazie

  82. grenzo says:

    Veramente di Autorun.inf adesso ne trovo ma hanno tutti le dimensioni di 1 KB e sembrano inseriti in directory di applicazioni che sono installate nel server.

    Cancello tutto? Potrebbe non funzionare qualcosa?

    grazie

  83. stefano says:

    @grenzo

    gli autorun.inf che ho trovato differivano dai soliti da 1k  o 2k tipo:

    [autorun]

    open=Setup.exe

    icon=pippo.ico

    ma erano mi sembra da circa 90k e se li aprivi col notepad uscivano solo sgiribizzi, ne ho trovato uno anche su una chiavetta usb… quindi farei attenzione a caricarsi fix e tools sulla chiavetta per controllare i pc perche magari si fa da untori…

    Per la domanda se abbiamo cambiato la password di Administrator, no, non ancora almeno. A mio avviso il virus (a meno che la password non rientri nella lista di circa 250 password che tenta http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T secondo me non la  puo’ conoscere in quanto è crittografata in AD e non fa keylogging.

    Il problema è che "impersona" l’utente loggato e se questo è amministratore trova campo libero sulle condivisioni amministrative dei pc in dominio. Cambiare la password per me non serve a niente visto che l’amministratore di turno con la password nuova di 20 caratteri fa login e il virus fa comunque quello che deve fare tramite le credenziali dell’utente.

    Per quanto rigurda invece l’amministrotore locale sui pc quella si che è un problema, dal momento che spesso e volentieri ci si trova con pc del dominio con password di administrator locale debole (es password) o inesistente. Quindi ti ritrovi che hai pulito il server, il domain admin è sicuro, ma il virus passa di pc in pc perchè becca le password di local admin dei client.

    Almeno questa è stata la mia impressione

  84. grenzo says:

    Ok, infatti x ora ho cambiato le password di Administrator locale e non quella del di Administrator di dominio, pero’ se parte dal server entra nel pc Client perche’ l’Administrator di dominio e’ anche Administrator locale..:-(.

    Qualche PC che sembra *pulito* con regedit, Autorun.inf etc. anche a rete staccata fa apparire le maschere di Alert dell’antivirus Trend che rileva il WORM_DOWNAD.AD, vuol dire che il PC e’ infetto?

    Poi, qualcuno ha parlato di una policy di dominio che disabiliti tutte le  share ADMIN$ dei PC e dei Server. Qualcuno sa come si fa? E’ consigliabile?

    Ciao e grazie

  85. orione says:

    ma siamo tutti utenti trend-micro? ma la trend-micro che fa? a mio avviso non debella questo worm. A me era già successo con il korgo 3 (o 4 non ricordo..) anni fa. L’ avevo preso su vari client, il pattern non esisteva, si era diffuso prima il virus che la soluzione da parte di trend…dopodiche passati alcuni giorni il pattern e lo scan engine si sono aggiornati e l’ha debellato automaticamente sui client infetti. SPERO faccia cosi’ a breve anche con questo…

  86. grenzo says:

    Vorrei realizzare uno script di logon x disabilitare $Admins di tutti i pc e server della rete: ho realizzato un file .bat che contiene il comando ma dove lo devo inserire? in C:WINDOWSSYSVOLdomainscripts del server di dominio? C’e’ un articolo che spiega dettagliatamente come realizzare uno script di startup tramite le policy di dominio?

    Grazie

  87. grenzo says:

    Ok, grazie inoltre e’ consigliabile arrestare il servizio * Task Scheduler* ( Utilita’ di pianificazione in italiano ) su tutti i PC ed i Server?

    Grazie

  88. grenzo says:

    Ho attivato la policy di dominio x disabilitare $Admins, ma adesso non vedo piu0 le cartelle condive dei server. E’ normale?

    grazie

  89. grenzo says:

    No il servizio Server e su’ sia nel server che nel client che cerca di connettersi alla cartella condivisa ..:-(

    cmq, i comandi :

    del %windir%Tasks*.job

    net stop schedule

    sc config schedule start= disabled

    posso inserirli nello script di logon del dominio insieme a:

    net share admin$ /delete ?

    grazie

  90. grenzo says:

    Ah, x il server che non mette piu’ a disposizione le directory condivise ( ne fa vedere solo una veramente.. ) dove posso guardare?  Dell’unica che fa vedere mette a disposizione solamente la directory associata all’utente e non quelle degli altri utenti ( anche se la condisione e’ everyone ),A forza di abilita/disabilita servizi ecc..  puo’ essere avvenuta qualche restrizione?

    grazie

  91. grenzo says:

    Ok, bene, un’ultima domanda : come faccio a controllare che lo script di dominio sia stato eseguito nei server e client che sono stati accesi ( o riavviati ) dopo l’inserimento dello script?

    grazie

  92. massimone73 says:

    Ciao a tutti,

    dopo aver passato giorni di inferno nell’azienda in cui lavoro a causa del virus in questione, vorrei confermare che la propagazione avviene attraverso le condivisioni $ADMIN, sempre se la password di administrator dei client sono uguali tra loro o peggio ancora, a quelle dei server.

    Per rimuovere il virus su tutti i Pc aziendali stò effettuando i seguenti passi:

    Ho inizialmente rimosso dai server il virus tramite i 2 tools di rimozione rilasciati da F-Secure e subito dopo reimpostato una nuova password.

    Inoltre in alcuni casi ho anche effettuato una scansione con il programma Trojan Remover che in pochi secondi riesce a beccare i servizi in esecuzione e ad eliminarli.

    Successivamente ho iniziato a ripulire i client seguendo la stessa identica procedura adottata per i server.

    Il metodo sembra funzionare, infatti, attraverso l’utilizzo di un PC su cui ho installato Comodo Firewall, riesco a capire da quali PC giungono i tentativi di propagazione del virus sulla porta TCP 445.

    Inizialmente Comodo mi segnalava quasi tutti gli indirizzi IP dei Pc aziendali, adesso dopo la rimozione, mi segnala soltanto quelli su cui non ho ancora passato i tools di rimozione.

    N.B. E’ importante copiare i tools di rimozione su un cd o dvd e non su una chiavetta usb, che potrebbe infettarsi e diventare mezzo di propagazione del virus.

    Accertatevi quindi che sulla vostra Pen-Drive non sia presente alcun file AUTORUN.INF, per farlo basta abilitare la visualizzazione dei files nascosti e di sistema.

    Spero di esservi stato d’aiuto.

  93. moz says:

    Una volta modificate le permission sulla chiave srvchost (punto 13)non si riesce più ad eseguire WindowsUpdate (punto 34)….cosa si fa?

  94. Francesco says:

    Vi segnalo che Microsoft ha rilasciato un aggiornamento del Tool MSRT

    http://www.microsoft.com/security/malwareremove/default.mspx

  95. michele says:

    Ho rimosso il virus su 4 server manualmente, ma trovo ancora errori nel registro eventi del server di dominio primario del tipo: ORIGINE: SAM ID EVENTO: 12294

    Descrizioine:

    Il database SAM non è stato in grago di escudere l’account administrator a causa di un errore di risorsa…. ecc. ecc.

    come administrator mi loggo solo nei server e i server ora nn sono più infetti, quindi perche mi compare ancora questo errore; inoltre da quando ho beccato il virus ho errori di replica in AD tra i due server

  96. michele says:

    solo nei server mi loggo come administrator; ho cambiato la password, rinominato administrator in admin, rimosso il virus come scritto sopra, ho usato nei 4 server anche l’utility della fsecure per rimuovere il virus e mi dice che non c’è più…

    non so più che fare, ho anche un caso microsoft aperto ma non mi danno risposta.

  97. grenzo says:

    Ciao,

    ma la nuova fix:

    http://www.microsoft.com/security/malwareremove/default.mspx

    funziona? Io l’ho fatto girare su un PC e non mi trovava nulla. Ma dopo un po’ l’alert Trend WORM_DOWNAD.AD e’ riapparso..:-((

  98. Mark says:

    io se faccio girare l’MSRT su una macchina infetta dal Win32/Conficker.B non mi rileva l’infezione ma mi identifica come file infetti i 222 file contenuti nei DAT di Symantec Antivirus (che poi in realtà non sono infetti…)

  99. manuel says:

    Si vi serve è uscito anche il tool aggiornato di rimozione by Symantec (già testato e funzionante)

    http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

  100. linuxmc says:

    Grazie per i consigli… io però ho provato la rimozione con il tool di rimozione malware aggiornato di Microsoft. Effettivamente rileva l’infezione e la elimina…. Poi rimuovo i task creati dalle operazioni pianificare e riavvio il server… e dopo alcuni minuti… mi ritrovo At1, At2, At3, etc…. e il server è patchato ad oggi !!!!

    Che si fa ?

  101. grenzo says:

    Rimossa la ADMIN$ ma l’ Antivirus ( Trend ) mi trova TROJ_DONADJOB.A in C:WindowsTasksAt1.job, cos’e’ una variante? e visto che non ho la ADMIN$ significa che il virus e’ residente?

    Ah ho passato tutti i tools, Microsoft, Symantec ecc.. ma non ho visto nessun effetto…. 🙁

    ciao

  102. stefano says:

    TROJ_DONADJOB.A non è nientaltro che il file AT*.job che il virus downad.ad crea. Infatti da ieri i pattern Trend rilevano e cancellano anche i job AT schedulati dal virus, quindi (almeno per chi ha Trend installato e aggiornato sulle macchine) fermare il servizio Task shedule non è più così essenziale.

  103. linuxmc says:

    Vi confermo che, almeno nel mio caso, dopo aver rimosso i task AT*.job, disabilitato le Admin share e effettuato la scansione con il Malware Removal Tool di Microsoft, l’infezione non si ripresenta più, pur essendo il server su cui ho fatto la prova collegato in una rete con almeno 40 tra client e server ancora infetti……. grazie mille ancora

  104. 10nico says:

    Ciao a tutti, grazie per tutti i consigli/script/contributi che mi hanno aiutato ad iniziare (sigh) la riscossa contro questo fetentissimo rootkit.

    Tuttavia ho ancora un problema (limitato ad alcuni pc per fortuna) e cioè non riesco più a visualizzare i file nascosti nemmeno se abilito le opportune opzioni e/o se imposto la chiave di registro a mano.

    In sostanza se flaggo "visualizza i file nascosti" e deselezione "nascondi i file protetti e di sistema", clicco applica, applica a tutte le cartelle, esco e rientro nelle proprietà e le opzioni sono tornate come prima.

    C’è qualcuno che sa come fare?

    Grazie a chiunque risponderà!

    10nico

  105. 10nico says:

    Problema risolto, il rootkit aveva impostato il valore "CheckedValue" a 0 anzichè a 1 come dovrebbe, sicchè quando si flaggava "Visualizza file nascosti" veniva settato a 0 (valore non valido) e il sistema si autoreimpostava a 2 (non visualizza i file nascosti).

    Ho rimesso il CheckedValue a 1 e ho flaggato "Visualizza file nascosti" ed è tornato tutto a posto.

    I permessi delle chiavi erano normali.

    Immagino (spero!) che visto che è rimasto a posto non ci fossero processi fetenti che mi cambiavano la chiave.

    Grazie a tutti e Buona Giornata 🙂

  106. giuliano says:

    Si vi serve è uscito anche il tool aggiornato di rimozione by Symantec (già testato e funzionante)

    http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

    Ciao,

    abbiamo provato la fix; non ha trovato nulla, in compenso ora il .NET 2.0 mi da questo errore: .NET 2.0 runtime error Access denied

    Qualche idea?

    Grazie,

    ciao.

  107. grenzo says:

    Ancora  WORM_DOWNAD.AD..

    Ciao nella mia LAN gira ancora il Worm, oggi ho installato un nuovo Server Member 2003 ed alcuni istanti dopo aver installato l’antivirus TREND mi sono apparse 18 segnalazioni!! Ho guardato nell’ Event Viewer ma non c’e nessun Failure Audit. Come posso sapere da *dove* e’ avvenuto l’attacco?

    grazie

  108. Garry Trinder says:

    Possibile che questo virus non si propaghi tramite la rete?

    l’ho scovato su 2 pc con installato kaspersky i sintomi (alcuni siti bloccati,aggiornamenti antivirus impossibili ecc…) mentre altri pc con panda non hanno avuto nulla facendo scambio di file con una chiavetta panda ha individuato subito conficker…. grande panda 🙂

  109. Massy says:

    salve,

    scusate, sono nuovo al tema:

    como posso rendermi conto se i l mio pc e’ "infetto"?

    e’ sufficiente una scansione dell;antivirus per

    escludere al 100% l’"infezione" ?

    dovrei pure controllare altre cose..? tipo task manager ecc.

    ..scusate l’ignoranza..

    saluti

  110. Massy says:

    ovviamentemi riferivo a Conficker..

    volevo solo sapere se esiste una procedura di

    controllo che garantisca al 100% di non aver "contratto il conficker"

    grazie

  111. Massy says:

    grazie per la risposta!

    provero’ cosi’!

    ma posso utilizzare il Microsoft Malicious Software Removal Tool anche se ho gia’ installato un altro antivirus?

    sapevo che piu’ antivirus allo stesso tempo comportassero problemi al sistema..

  112. Paolo says:

    Siamo sotto attacco da circa 6 giorni da questo malefico worm. La nostra azienda (ospedale) è dotata di circa 800 clients e 60 server windows (2000 / 2003 / 2008). Prendiamo atto che la propagazione sia avvenuta mediante il bug di windows non patchato (nostra colpa!), ma ora stiamo provando ad uscirne … con tanta difficoltà, soprattutto nel tentativo di non interrompere il servizio ai pazienti.

    Domanda: se i server vengono "puliti" mediante tool di rimozione, patch microsoft (KB958644) e tutto questo fuori rete, è plausibile pensare che al riavvio dei sistemi i client infetti non possano + trasmettere il worm ai server? Se così non fosse, diventerebbe un grandissimo problema dover pulire contestualmente 800 macchine client + 60 server…

    Grazie!

  113. Massy says:

    salve,

    leggendo che Windoes LiveOne Care Safety Scanner deve

    essere installato prima di metterlo in esecuzione mi chiedevo:

    questo non e’ standalone?

    il fatto e’ che ho gia’ il norton installato, e l’ultima volta che

    ho installato un "secondo" antivirus (dopo avere gia’ il norton)

    il pc e’ andato in crash… e ho dovuto formattare.

    posso dunque installare tranquillamente questo

    Windoes LiveOne Care Safety Scanner …? o lascio perdere ?

    grazie in anticipo

  114. Giovanni says:

    buon giorno,

    dopo aver rimosso conficker con il tool di rimozione di Ms, ho notato che non e’ possivile visualizzare i file nascosti.

    Penso allora che il tool di rimozione non abbia riportato Wxp allo stato originale, e quali altre situazioni il verme abbia modificato.

    Come posso procedere?

    grazie

  115. LuCas says:

    Buongiorno a tutti,

    Ho appena finito di leggere tutti i posts sopra presenti.

    Mi chiedo una cosa: come si ferma il Task Schedule? Ma, soprattutto: fermandolo blocco ovviamente tutti quei processi che il PC avvia in automatico?

    Grazie mille.

  116. LuCas says:

    Grazie per la celere risposta!

    Ok, grazie. Immagino si riavvii da solo una volta riavviato il PC perciò ho messo questo scriptino nelle policy del dominio:

    net share admin$ /delete

    net stop schedule

    del %windir%Tasksat*.job

    Spero di aver fatto correttamente la procedure di inserimento dello script nel dominio (vorrei che quello script fosse eseguito da tutti i PC che fanno accesso al dominio).

    Spero anche quindi di marginare la diffusione di questo worm che ha infattato la LAN (25 clients e 3-4 servers).

  117. menciM says:

    Purtroppo nella mia azienda abbia preso il conficker e adesso stiamo procedendo a ripulire tutte le macchine.

    Stiamo utilizzando prima Gmer per cancellare il servizio, poi installiamo il Aggiornamento di sicurezza MS08-067, facciamo girare  Microsoft Malicious ed installiamo il nostro antivirus(adesso aggiornato) che riesce a pulire la macchina …

    Purtroppo su alcuni personal computer non riusciamo a far partire l’aggiornamento di sicurezza e nemmeno Malicious pur avendolo pulito con l’antivirus …

    Come posso risolvere il problema ?

  118. Carbone says:

    Ciao,

    ho un problema con WindowsLiveMess, ho confermato l’apertura di un messaggio che faceva riferimento ad una foto, ed eccomi accontentato si è infettato il PC ha iniziato a mandare messaggi con link a foto ovviamente inesistenti, ho avvisato i miei amici di non aprire ed ho iniziato la battaglia provati i vari sistemi scaricati dalla rete, fatto scan con vari antivirus alla fine ho disinstallato il Messanger ed utilzzato MSN via web ancora partono messaggi.

    Cosa posso fare non vorrei formattare

    PS il SO Vista

  119. dexter says:

    @Carbone cambiare password di accesso al messenger??? Molto probabilmente cliccando sulla link della foto sarai stato dirottato su un sito fake che chiedeva login di hotmail.  Ora un bot starà usando le tue credenziali per infettare i tuoi contatti nello stesso modo.  Non risolvi disinstallando msn dal tuo pc, ma modificando la password.

  120. davide says:

    Ciao a tutti…Anch’io la scorsa settimana l’ho passata a ripulire server e client…una cosa che ho scoperto che mi ha aiutato ad individuare gli ultimi client infetti è la seguente : se andate nelle proprietà del file infetto Autorun.inf prima di rimuoverlo con un antivirus ( quello che vi si crea nelle cartelle condivise sul server, da circa 90 Kb ed invisibile ) e poi andate su Protezione / Avanzate / Proprietario dovreste trovare chi è il pc infetto che ha creato questo file.

    ciao