Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B
[Ultimo aggiornamento 20 Mar 2009 - 17:35]
Maggiori informazioni riguardo la nuova variante Conficker.D sono disponibili in questo post:
Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.D
In questo periodo abbiamo identificato una nuova variante del virus Conficker.
Il virus inizialmente attacca i sistemi che non hanno installato l’aggiornamento di sicurezza MS08-067 e, una volta infettato il sistema, proverà a diffondersi utilizzando degli attacchi di tipo “brute force”.
Questo tipo di attacco cercherà di crackare le password degli altri sistemi e, una volta entrato, lo infetterà.
E' fondamentale non loggarsi con utenze di amministrazione di Dominio in quanto il virus riesce ad impersonare l'utente loggato ed utilizzare le sue credenziali per infettare gli altri computer presenti in rete.
Per maggiori informazioni riguardo alla vulnerabilità e al bollettino correttivo MS08-067, fate riferimento al post di Feliciano Intini.
Di seguito vediamo i sintomi e i principali metodi per mitigare il diffondersi dell'infezione.
Sintomi
I principali sintomi per determinare se si è infetti sono:
- Molti / Tutti gli account utente e amministratore iniziano ad essere bloccati.
Per ottenere maggiori informazioni riguardo agli account bloccati è disponibile l'Account Lockout Tools. - Automatic Updates, Background Intelligent Transfer Service, Windows Defender e Error Reporting Server Services sono arrestati e disabilitati
- Errori legati a SVCHOST
- I Domain Controller sono lenti nelle rispondere ai client
- Congestione della rete interna
- Non è possibile accedere ai siti internet di Windows Update e dei principali software antivirus
Ad oggi, Microsoft e le altre società antivirus hanno identificato questo tipo di attacco malware come indicato al sito Microsoft Malware Protection Center.
Verificate le informazioni presenti nel link indicato sopra per poter analizzare il modo utilizzato nella diffusione dell'infezione.
Inoltre è possibile che il sistema sia infettato da una diversa variante del virus: verificate sempre al sito Microsoft Malware Protection Center
Rimozione automatica (consigliata)
Il modo migliore per rimuovere il virus è utilizzare l'Antivirus installato nel sistema in quanto riduce i tempi di scansione e permette di limitare le reinfezioni.
In caso non sia rilevabile, si può utilizzare il tool standalone Microsoft Malicious Software Removal Tooldisponibile gratuitamente ed entrambi in grado di rilevare e rimuovere il virus e le sue varianti.
Un articolo spiega come distribuire il Microsoft Malicious Software Removal Tool all'interno di una rete aziendale.
Un altro tool in grado di rilevare e rimuovere l'infezione è Standalone System Sweeper che è parte del Microsoft Dekstop Optimization Pack 6.0
Infine, entrambe le versione di Windows Live OneCare e Forefront Client Security
Rimozione manuale (in caso di varianti)
E' disponibile un articolo che spiega come procedere nella rimozione manuale del virus:
Virus alert about the Win32/Conficker.B worm
Prevenire la reinfezione
Verificare su tutti i client e server presenti in rete che i seguenti punti siano stati eseguiti
- Antivirus aggiornato in grado di rilevare il virus Win32/Conficker.B
- Aggiornamento di sicurezza MS08-067 installato su tutti i server e client
- Utilizzo delle password complesse degli amministratori locali e di dominio
Enforcing Strong Password Usage Throughout Your Organization - Verificare che l'autorun non sia attivo
How to correct "disable Autorun registry key" enforcement in Windows - Verificare che non ci siano job anomali presenti nel Task Schedule
- Verificare che tutte le ultime hotfix di sicurezza siano installate correttamente
Posterò aggiornamenti in caso di modifiche o novità riguardo a questo virus.
Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platforms Support