Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

[Ultimo aggiornamento 20 Mar 2009 - 17:35] 

Maggiori informazioni riguardo la nuova variante Conficker.D sono disponibili in questo post:
Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.D

In questo periodo abbiamo identificato una nuova variante del virus Conficker.
Il virus inizialmente attacca i sistemi che non hanno installato l’aggiornamento di sicurezza MS08-067 e, una volta infettato il sistema, proverà a diffondersi utilizzando degli attacchi di tipo “brute force”.
Questo tipo di attacco cercherà di crackare le password degli altri sistemi e, una volta entrato, lo infetterà.
E' fondamentale non loggarsi con utenze di amministrazione di Dominio in quanto il virus riesce ad impersonare l'utente loggato ed utilizzare le sue credenziali per infettare gli altri computer presenti in rete.

Per maggiori informazioni riguardo alla vulnerabilità e al bollettino correttivo MS08-067, fate riferimento al post di Feliciano Intini.

Di seguito vediamo i sintomi e i principali metodi per mitigare il diffondersi dell'infezione.

Sintomi

I principali sintomi per determinare se si è infetti sono:

  • Molti / Tutti gli account utente e amministratore iniziano ad essere bloccati.
    Per ottenere maggiori informazioni riguardo agli account bloccati è disponibile l'Account Lockout Tools.
  • Automatic Updates, Background Intelligent Transfer Service, Windows Defender e Error Reporting Server Services sono arrestati e disabilitati
  • Errori legati a SVCHOST
  • I Domain Controller sono lenti nelle rispondere ai client
  • Congestione della rete interna
  • Non è possibile accedere ai siti internet di Windows Update e dei principali software antivirus

Ad oggi, Microsoft e le altre società antivirus hanno identificato questo tipo di attacco malware come indicato al sito Microsoft Malware Protection Center.
Verificate le informazioni presenti nel link indicato sopra per poter analizzare il modo utilizzato nella diffusione dell'infezione.
Inoltre è possibile che il sistema sia infettato da una diversa variante del virus: verificate sempre al sito Microsoft Malware Protection Center

Rimozione automatica (consigliata)

Il modo migliore per rimuovere il virus è utilizzare l'Antivirus installato nel sistema in quanto riduce i tempi di scansione e permette di limitare le reinfezioni.

In caso non sia rilevabile, si può utilizzare il tool standalone Microsoft Malicious Software Removal Tooldisponibile gratuitamente ed entrambi in grado di rilevare e rimuovere il virus e le sue varianti.

Un articolo spiega come distribuire il Microsoft Malicious Software Removal Tool all'interno di una rete aziendale.

Un altro tool in grado di rilevare e rimuovere l'infezione è Standalone System Sweeper che è parte del Microsoft Dekstop Optimization Pack 6.0

Infine, entrambe le versione di Windows Live OneCare e Forefront Client Security

Rimozione manuale (in caso di varianti)

E' disponibile un articolo che spiega come procedere nella rimozione manuale del virus:
Virus alert about the Win32/Conficker.B worm

Prevenire la reinfezione

Verificare su tutti i client e server presenti in rete che i seguenti punti siano stati eseguiti

Posterò aggiornamenti in caso di modifiche o novità riguardo a questo virus.

Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platforms Support