hit counter
Auguri col worm: la variante Conficker.B in circolazione in Italia - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Auguri col worm: la variante Conficker.B in circolazione in Italia

Auguri col worm: la variante Conficker.B in circolazione in Italia

  • Comments 14
  • Likes

Interrompo il silenzio blogging che mi sono imposto in queste festività per due motivi importanti.

Il primo motivo è una segnalazione destinata agli amministratori IT delle aziende, in particolare a quei pochi che non sono andati in ferie: il mio team di sicurezza PCfS, che riesce ad avere il polso di diverse grandi realtà italiane, ha ricevuto da ieri diverse segnalazioni di infezioni virus causate da una nuova variante del worm Conficker di cui abbiamo parlato in occasione del bollettino MS08-067:

Worm:Win32/Conficker.B

Il problema è che questa nuova variante del worm non solo tenta la propagazione sfruttando i sistemi non ancora aggiornati con la patch MS08-067, ma tenta di replicarsi utilizzando password deboli delle utenze amministrative. Questo tipo di dinamica sta provocando due effetti collaterali significativi: il tentativo massiccio (migliaia di tentativi) di indovinare la password con questo dictionary attack può causare delle serie congestioni di rete (e quindi a catena un collasso della connettività di rete) e un vero e proprio DoS verso i sistemi di autenticazione che utilizzano l'account lockout (ossia il blocco dell'utenza dopo un certo numero di password errate). In seguito a queste considerazioni, invito gli amministratori di sicurezza (gli utenti finali non sono interessati, se aggiornati con la patch, come dovrebbero, e se al riparo dietro un firewall di rete non aperto alle share) a rivedere il livello di aggiornamento dei loro sistemi rispetto alla patch MS08-067 e il livello di robustezza delle password amministrative di rete come indicato dal link che vi ho proposto. A partire da ieri, dopo la scoperta da parte del nostro MMPC, tutti i maggiori vendor antivirus stanno aggiornando le loro firme per permettere il rilevamento di questa nuova variante.

Aggiornamento del 7 gennaio 2009: vi segnalo un post dei miei colleghi del Supporto Tecnico Enterprise in cui vengono forniti molti dettagli utili relativi alle operazioni di rilevamento, contenimento e rimozione di questo worm:

 Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Aggiornamento del 14 gennaio 2009: in occasione del rilascio dei bollettini di sicurezza di gennaio è stata rilasciata la nuova versione del Malicious Software Removal Tool (MSRT) che rimuove anche la famiglia di malware Conficker: i clienti ci stanno segnalando che funziona egregiamente, scaricatelo da qui! Ricordo che gli utenti finali (che hanno approvato la sua esecuzione la prima volta) dovrebbero averlo già eseguito automaticamente contestualmente all'installazione del bollettino MS09-001 (KB958687).

Aggiornamento del 21 gennaio 2009: d'ora in poi è opportuno che facciate riferimento a questo mio nuovo post come articolo principale per gli aggiornamenti su questa problematica:

Considerazioni per un efficace contenimento dell'infezione Conficker.B

Il secondo motivo è ...

un semplice ma profondamente sentito augurio per un FANTASTICO 2009 a voi e a tutti i vostri cari, ringraziandovi di cuore dell'incredibile interesse con cui avete seguito il mio security blog: GRAZIE!

A presto, con una nuova valanga di security post nel 2009!

Altri post/risorse correlate:

Share this post :
Comments
  • <p>Ricambio di cuore gli Auguri a Te, alla tua Famiglia ed allo staff di Microsoft, ringradiandoTi ancora una volta per la puntualit&#224; con cui riesci semppre a tenerci informati e a contribuire a tenere sempre desta la nostra attenzione.</p> <p>Saluti,</p> <p> &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Antonio RUOCCO</p> <p> &nbsp; &nbsp; &nbsp; &nbsp; Anacapri - Isola di Capri (NA)</p>

  • <p>Auguri a te Feliciano e grazie di esistere</p> <p>BUON 2009!!!!!!!!!!</p> <p>GRAZIE</p>

  • <p>Salve, innanzi tutto voglio esprimerle i miei complimenti per il suo blog e per il fatto che forse &#232; uno dei pochi ad aver parlato apertamente di una cos&#236; grave falla di windows che dal mese di Dicembre mi ha fatto passare le notti insonne alla ricerca disperata di articoli e forum utili alla risoluzione del problema.</p> <p>Ma vengo subito al dunque, nei primi giorni di dicembre, nell’azienda per cui lavoro, si sono manifestati sporadici e improvvisi rallentamenti di rete.</p> <p>Dopo diverse indagini ho capito che la causa era da attribuirsi ad un virus o warm che molto probabilmente era riuscito ad entrare su qualche pc tramite Pendrive e successivamente autopropagatosi su quasi tutti i pc aziendali sprovvisti della patch MS08-067.</p> <p>In un primo momento ho creduto che l'unica soluzione possibile era quella di riformattare i pc infetti e che avrei passato il resto dei miei giorni in azienda a reinstallare windows.</p> <p>Ho quindi cercato un'alternativa pi&#249; umana alla risoluzione del problema cercando di capire da dove partivano gli attacchi che stavano causando il collasso dell'intero sistema informatico aziendale.</p> <p>Per prima cosa ho disabilitato la connessione Internet su tutti i pc al fine di evitare accessi remoti non autorizzati ed eventuali furti di dati.</p> <p>Successivamente ho reinstallato su un Pc Windows XP Pro SP3 aggiornato con tutti gli ultimi Updates e soltando dopo, l'ho collegato alla rete aziendale.</p> <p>Inutile dire che la macchina debitamente patchata era immune agli attacchi.</p> <p>Ho cos&#236; capito che dovevo installare una patch di sicurezza e dopo diverse ricerche ho capito che la patch in questione era la KB958644.</p> <p>Detto fatto, in soli 2 gorni ero riuscito ad installare la patch su oltre 100 PC.</p> <p>Si lo s&#242; che esiste il WSUS ma avevo da pochi giorni migrato il server da Win2k a Win2k3 e non avevo ancora fatto a tempo a reinstallarlo e a riconfigurarlo.</p> <p>Purtroppo, &#232; inutile dirlo, come tutti sanno i vaccini servono a poco se somministrati dopo l'infezione, infatti quasi il 90% dei pc patchati erano infetti.</p> <p>Adesso dovevo identificare e rimuovere il warm.</p> <p>Ho iniziato a scaricare e a provare tutti i software antivirus e antimalware pi&#249; diffusi: Spy Boot, MalwareBytes, Windows Defender, etc..., senza alcun risultato nessuno di questi era in grado di rimuovere il malware ne quantomeno di rilevarlo.</p> <p>Anche il programma antivirus che usiamo in azienda non era riuscito a rilevarlo, era per&#242; riuscito a bloccare un virus presente su una Pendrive di un dipendente da cui molto probabilmente il virus era entrato.</p> <p>Ho continuato su questa strada certo che prima o poi qualcuno di questi software debitamente aggiornato sarebbe riuscito a rilevare e a rimuovere il malware, e dopo 2 giorni la mia caparbiet&#224; &#232; stata premiata, avevo trovato un software il &quot;Trojan Remover&quot; &nbsp;con cui sono riuscito a rilevare e a rimuovere il malware e cosa non da poco, riusciva a farlo in pochi secondi senza bisogno di dover scansionare l'intero Hard-Disk.</p> <p>Prima di procedere alla rimozione del malware su tutti gli altri pc mi occorreva capire se la rimozione era andata a buon fine.</p> <p>Di conseguenza ho allestito un Pc adibito a sentinella su cui ho installato windows xp pro sp3 debitamente pachato ma con una marcia in pi&#249;, un software capace di monitorare gli attacchi provenienti dalle porte tcp 445, il software che ho utilizzato &#232; il Comodo Firewall.</p> <p>In effetti questo software mi segnalava tutti gli indirizzi ip da cui provenivano gli attacchi; indirizzi Ip che non venivano pi&#249; segnalati dopo aver operato la rimozione del malware con il Trojan Remover.</p> <p>Avevo quindi appurato che la rimozione era avvenuta con successo e adesso dovevo proseguire l'opera di rimozione sui pc segnalatomi come attaccanti dal Comodo Firewall.</p> <p>Dopo altri 3 giorni di estenuante lavoro di installazione e rimozione sono riuscito a debellare la minaccia.</p> <p>Infatti il Comodo Firewall non mi segnalava pi&#249; allarmi provenienti dalla rete.</p> <p>Questo sino a giorno 31, quando improvvisamente gli avvisi sono riapparsi dapprima su alcuni pc precedentemente infettati, successivamente anche su pc che non erano mai stati contagiati.</p> <p>Ho reinstallato e riscansionato i pc con il Trojan Remover che puntualmente ha rilevato e rimosso il Warm, ma dopo il riavvio quest’ultimo rientra nuovamente.</p> <p>Questa volta i sintomi sono diversi e pi&#249; evidenti:</p> <p>Disattivazione del servizio aggiornamenti automatici.</p> <p>Disattivazione del firewall di windows.</p> <p>Creazione di una regola sul firewall di windows con un nome e una porta tcp sempre diversa da pc a pc.</p> <p>Blocco della risoluzione DNS verso siti Microsoft e tanti altri come F-secure, MalwareBytes, etc..</p> <p>Inoltre ho notato che il malware si propaga anche sui sistemi su cui precedentemente non era riuscito a propagarsi in quanto era gi&#224; presente la patch KB958644.</p> <p>Credo che questa nuova variante di malware sia in grado di bypassare la patch di protezione. </p> <p>Al momento ho disattivato nuovamente Internet su tutti i Pc in attesa di trovare una soluzione</p> <p>Spero che Microsoft rilasci presto un'altra patch che sani definitivamente questa grave falla di sistema o comunque che rendi Windows XP e Windows 2003 meno vulnerabili a questo tipo di attacco rispetto a Vista che in tutta questa vicenda &#232; l'unico ad uscirne indenne, almeno per il momento.</p> <p>Grazie e Auguri di Buon Anno.</p>

  • <p>@tutti: grazie e ancora auguroni!</p> <p>@Massimone73: grazie per i complimenti! Per quanto riguarda l'analisi di questo worm ci tengo solo a precisare che non si tratta di un malware che riesce ad aggirare la patch MS08-067 o che sfrutti una nuova falla. E' purtroppo solo un malware che utilizza diverse modalit&#224; di propagazione e quindi pu&#242; attaccare provando a sfruttare le diverse vecchie falle (gi&#224; tutte corrette da Microsoft), oltre che tentare di indovinare le password deboli. Per quest'ultimo caso, un sistema con password debole pu&#242; essere infettato anche se &#232; completamente aggiornato rispetto alle security patch.</p>

  • <p>Effettivamente dopo accurate prove, ritengo che il virus si sia propagato proprio attraverso la condivisione $ADMIN di Windows 2K/XP Pro e che la propagazione sia partita da un Server, infetto, con password administrator complessa ma uguale ai client infettati.</p> <p>Adesso, per l'ennesima volta, ho rimosso il virus sui Server e impostato una nuova password, in questo modo dovrei impedire che la propagazione del virus prosegua.</p> <p>Inoltre ho acquistato il Prevx-CSI Enterprise e installato l'agent su quasi tutti i Pa aziendali.</p> <p>Nei prossimi giorno, effettuer&#242; su ogni pc la riattivazione del firewall di windows disattivando l'eccezzione &quot;condivisione file e stampanti&quot;, poi cercher&#242; di rimuovere il worm con il Trojan Remover e infine imposter&#242; una nuova password di Administrator e cos&#236; via su tutti i Pc aziendali.</p> <p>Dopo questa procedura, attraverso il Comodo Firewall, verificher&#242; se dalla rete locale partano ancora attacchi sulla porta 445.</p> <p>Qualora i tentativi di propagazione interni cessassero, riattiver&#242; prima internet e dopo la condivisione file e stampanti.</p> <p>Nel caso in cui tu ritenga errata tale procedura o carente in qualche passaggio, sono pronto ad accettare altri suggerimenti.</p> <p>Grazie per il tuo aiuto.</p>

  • <p>Questa volta il titolo del post &#232; impreciso: come gi&#224; anticipato lo scorso venerd&#236;, vi &#232; solo un bollettino</p>

  • <p>Credo abbiate letto di come questa infezione si stia diffondendo in modo serio, e non solo in Italia.</p>

  • <p>Purtroppo sto combattendo ora con il suddetto Conficker.B (che gli scoppi il cranio a chi l'ha divulgato!). Io uso ClamWin e sento gi&#224; i suoi tasti che scrivono &quot;ClamWin? Allora si vuole male!&quot;, e ha ragione, perch&#233; questo programma pi&#249; che segnalarti virus, te li fa &quot;intuire&quot; facendo seguire al file la scritta &quot;Permesso negato&quot;. Ok, non ho Pc in rete e credo di essermi infettato collegando un hard disck esterno (non mio). Me ne sono accorto perch&#233; sono abituato a tenere visualizzate cartelle e file nascosti, mentre nella fattispecie la funzione Visualizzazione si era spostata su Nascondi e non c'&#232; verso di ripristinarla, anche dopo aver rimosso il virus con MRT!</p> <p>Mi &#232; stato detto che potrebbe essere rimasto il Trojan che eventualmente l'ha introdotto, ma dopo aver letto i suoi post sono pi&#249; del parere che io come Administrator sia stato aggirato.</p> <p>Cosa mi consiglia di fare, considerando che ora sembra tutto Ok, per riprendere il comando di tutte le funzioni del SO?</p> <p>Grazie anticipate. Mauro.</p>

  • <p>Pardon, dimenticavo... Il SO &#232; Windows 2000 Service Pack 4</p>

  • <p>La disattivazione automatica della visualizzazione dei file nscosti &#232; un sintomo tipico di questo malware.</p> <p>Per ripulire il pc scarica il tool gratuito di rimozione rilasciato da F-Secure da </p> <p><a rel="nofollow" target="_new" href="ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip">ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip</a></p> <p>e la versione dimostrativa valida 15 giorni di Trojan remover.</p> <p>Utilizza per primo il Trojan Remover, installandolo e aggiornandolo attraverso una connessione ad internet.</p> <p>Successivamente scollega il pc da Internet e avvia la scansione; dopo pochi minuti, il programma rilever&#224; tutte le minacce attive richiedendo il riavvio del pc per completare la procedura di rimuzione.</p> <p>Quando il pc si sar&#224; riavviato, esegui il tool di scansione di f-secure.</p> <p>Per farlo scompatta il contenuto del file zip dentro una cartella sulla radice di del disco C e dal prompt dei comandi entra dentro questa cartella ed esegui: f-downadup.exe --disinfect</p> <p>La scansione impiegher&#224; alcuni minuti, al termine il pc si riavvier&#224; automaticamente, qualora il tools dovesse trovare il virus in oggetto.</p> <p>A questo punto il pc dovrebbe essere pulito.</p> <p>Puoi inoltre utilizzare altri tools di rimozione come questo:</p> <p><a rel="nofollow" target="_new" href="http://www.norman.com/Virus/Virus_removal_tools/24789/">http://www.norman.com/Virus/Virus_removal_tools/24789/</a></p> <p>Un altro accorgimento utile che ti consiglio di adottare &#232; quello di disabilitare l'autorun di windows per evitare che il malware o altri virus possano entrare nuovamente sul tuo pc attraverso chiavette o hd usb.</p> <p>Cerca le varie soluzioni disponibili in rete.</p>

  • <p>X Massimone 73:</p> <p>Ti ringrazio per i consigli (che seguir&#242; successivamente in forma preventiva), tuttavia, stanotte ho deciso che causa il tempo mancante (ho gi&#224; perso tre giorni per 'sta storia) per questa volta rimedio reinstallando con Ghost la situazione ante-virus (avr&#242; solo la scocciatura di aggiornare i vari programmi, ma vuoi mettere con un'installazione ex novo?!): tempo di recupero operativit&#224;, 20 min.</p> <p>Per&#242;, mi sta su dargliela vinta!</p> <p>Volevo cogliere l'occasione per informare il sig. Feliciano che sulla mia macchina risulta installata fin dal momento della pubblicazione la patch MS08-067, ma il ConfickerB si &#232; confickerato ugualmente, alla faccia di Microsoft!</p> <p>Buongiorno a tutti e auguroni.</p> <p>All'ideatore del ConfickerB, che gli prenda un canchero in testa!</p> <p>P.S.: X Massimone: ho deciso per la soluzione suddetta anche perch&#233; mi sono accorto che era stato annullato anche l'update automatico di Windows, nonch&#233; un altro paio di voci che ho dovuto ripristinare a mano. Quindi, mi sono chiesto quante altre modifiche avesse operato il bastardo e quali altre sorprese ci si sarebbe dovuti aspettare successivamente. Stanotte ho vagato per forum inerenti il problema della impossibilit&#224; di rivisualizzare cartelle e file nascosti. Pare esistano due stringhe nel Regedit da variare e si risolve, ma anche in questo caso bisognerebbe che la cosa fosse accreditata da un tecnico sicuro... Ciao.</p>

  • <p>Hai scelto la strada migliore e pi&#249; sicura.</p> <p>Sappi, comunque, nel caso in cui il tuo pc &#232; connesso ad una rete lan con altri pc (infetti), il virus potrebbe rientrarti nuovamente, anche se hai installato la patch MS08-067.</p> <p>Il problema &#232; che conficker per autopropagarsi sfrutta non diverse metodologie e non solo la vulnerabilita di windows sanata dalla patch MS08-067.</p> <p>Conficker, infatti, tenta di autopropagarsi tramite la rete utilizzando le credenziali di accesso del pc infetti.</p> <p>Inoltre, tieni a mente che tutte le chiavette e gli HD USB che hai utilizzato dopo aver contratto il virus sono tutte infette.</p> <p>Per disinfettarle segui questa procedura:</p> <p>Apri risorse del computer, tieni premuto il tasto SHIFT sinistro della tastiera (questo disabiliter&#224; temporaneamente l'autorun) inserisci la periferica usb e attendi almeno 10 secondi prima di rilasciare il tasto shift, poi clicca con il tasto destro del mouse sulla lettera assegnata alla periferica USB e poi su apri.</p> <p>Abilita la visualizzaione dei file nascosti e disabilita l'opzione &quot;nascondi file protetti e di sistema&quot;.</p> <p>A questo punto devi eliminare il file autorun.inf e una cartella chiamata recycled o simile.</p>

  • <p>Grazie, Massimo.</p> <p>Fortunatamente, dopo aver contratto il virus non ho utilizzato nessun accessorio usb. Comunque, mi sono copiato il tuo post, nel malaugurato caso dovesse servire in futuro...</p>

  • <p>[English version of considerations and best practices will appear below: translation in progress] RESOURCES</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment