hit counter
A proposito della nuova variante Conficker.C (anche detta Conficker.B++) - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

A proposito della nuova variante Conficker.C (anche detta Conficker.B++)

A proposito della nuova variante Conficker.C (anche detta Conficker.B++)

  • Comments 17
  • Likes

La minaccia Conficker sta mostrando la sua vera natura, di non essere un semplice esercizio di stile: probabilmente in risposta all'iniziativa di coordinamento inter-forze, che aveva messo in campo la possibilità di impedire la registrazione di domini DNS in grado di abilitare la distribuzione di questo malware, gli autori di Conficker hanno realizzato una nuova variante che aggiunge forse poco alla funzionalità di base di questo worm ma lo attrezzano con un ulteriore meccanismo per auto-aggiornarsi o per inoculare altro malware su sistemi già infettati.

Notate, come indicato dal post del MMPC su questa notizia, che il tool MSRT fornito lo scorso 10 febbraio opera già il rilevamento di questa variante: per ora la indica come variante Conficker.B ma dalla prossima versione la identificherà come

Worm:Win32/Conficker.C (anche detta Conficker.B++)

Chi fosse interessato agli internals della famiglia Conficker (compresa quest'ultima), può reperirne diversi in un interessante e dettagliato Technical Report della società SRI International "An Analysis of Conficker's Logic and Rendezvous Points".

Altri post/risorse correlate:

Share this post :
Comments
  • Speriamo che questa volta gli antivirus riescano a riconoscere per tempo questa nuova variante che continua inesorabilmente la sua diffusione.

    A tutt'oggi, nei pc aziendali, continuo a trovare e a rimuovere scorie di questo stramaledetto malware.

  • @massimone73: effettivamente questa è stata una caratteristica di questa infezione, la capacità di mettere in difficoltà i vendor AV nella produzione di firme efficaci. Se posso essere indiscreto, e se non è un problema condividerlo, quale AV si usa nella tua azienda?

  • Ho sempre utilizzato F-Secure reduce dall'esperienza acquisita negli anni in cui esisteva solo il dos e l'unico antivirus veramente efficace era F-Prot.

    Devo dire che grazie ad F-Secure, comunque, sono riuscito a rimuovere il malware Conficker in azienda.

    Avvalendomi, infatti, del software F-Secure Policy Manager che consente di gestire l'installazione, l'aggiornamento e le policy dell'antivirus in modo centralizzato, sono riuscito ad eseguire contemporaneamente su tutti i pc membri del dominio il tool di rimozione Conficker con estrema semplicità.

    Ritengo, inoltre, che F-Secure sia sempre un passo avanti a tutti gli altri programmi antivirus, e che questa è stata l'unica volta in più 10 anni di utilizzo che qualcosa di tale portata riuscisse a sfuggire alle firme di questo AV.

    Rimango pertanto un sostenitore accanito di tale software, unica pecca è la quantità di risorse utilizzate che a mio modesto parere è un pò esosa.

  • Feliciano , a parte la trascuratezza relativa alle infrastrutture e alla distribuzione di patch, quale vendor secondo te si è mosso e si stà muovendo meglio per quanto riguarda la risoluzione del problema conficker ? nessuno mi è parso reattivo, anche se io posso parlarti dell'esperienza mcafee che ancora oggi ha dei problemi ..

  • Ribadisco per esperienza sul campo che F-Secure è il migliore.

    Detto ciò, ritengo comunque che anche Kaspersky e Bitdefender non siano da meno.

    Tengo comunque a sottolineare che nei giorni successivi alla propagazione in azienda del virus Conficker, nel tentativo di individuare e rimuovere il malware in oggetto, ho installato svariati software antivirus e nessuno, a parte Trojan Remover, è riuscito ne a rimuoverlo ne tantomeno a rilevarlo.

    I software provati sono i seguenti:

    Spybot - Search & Destroy (Free)

    Malwarebytes (Free)

    Kaspersky (Demo)

    Bitdefender (Demo)

    PrevX CSI (Acquistate 20 licenze)

    Emsi a-squared (Free)

    Ovviamente non escludo che nei giorni successivi alle mie prove, anche questi software con i dovuti aggiornamenti sarebbero stati, probabilmente, in grado di riuovere il virus.

    Voglio inoltre segnalare che TrojanRemover si è rilevato molto efficace in termini di rilevamento, rimozione e velocità di scansione "circa 60 secondi".

    I creatori di Conficker hanno scoperchiato il vaso di Pandora e non escludo che nei giorni a venire altri virus utilizzeranno le capacità di autopropagazione e di offuscamento di questo terribile virus.

    Ritengo quindi che la sfida tra chi realizza queste minacce e chi cerca di contrastarle sia ancora tutta da giocare.

  • Tu parli di F-SECURE,(non conosco prodotti f-secure purtroppo) ma ha una sorta di console centrale per la gestione eventi e controllo macchine tipo la epo di mcafee o la eTrust console di Computer Associates ? perchè posso capire che siano efficaci dal punto di vista delle singole workstations,ma se devi andare ad eseguire un operazione di bonifica di 1500 2000 macchine difficilmente potrai gestirle tutte senza una console centrale..

  • Come già accennato nei precedenti commenti, anche F-Secure dispone di un applicativo che consente la gestione centralizzata che si chiama F-Secure Policy Manager.

    E' proprio grazie a questo software se sono riuscito ad egesuire simultaneamente in modo centralizzato il tool di rimozione Conficker rilasciato da F-Secure.

  • NOD32 lo rileva e lo elimina. Ho pulito 2 pc e qualche chiavetta usb con questo antivirus.

  • Già da qualche settimana tutti gli antivirus rilevano il Conficher.

    Ciò su cui si discuteva è il fatto che la capacità nel rilevarlo è giunta troppo tardi quando ormai il warm si era diffuso a macchia d'olio permettendo ai creatori di questo virus di disporre per un ampio periodo di tempo di una rete BotNet composta da oltre 9 milioni di PC.

  • [English version of considerations and best practices will appear below: translation in progress] RESOURCES

  • Chi mi puo' aiutare?Sono quasi certo che si tratta di una nuova variante di conficker,presenta tutti i sintomi e in + e' quasi impossibile da rimuovere.Ho formattato a 0 fill con power max 4.01 e spostato hd,dvd,floppy,mause e tastiera e moni su altro pc,poi ho reinstallato xp home ma il virus e' rimasto??!!!!Comincio a pensare che riscriva i firmware,non so + che fare gia 3 pc infetti.aiuto. grazie.

  • Ho xp home originale,senza aggiornamenti(2002)c.a. ma stranamente,finita l'installazione ex novo su hd formattato basso livello,mi compare gia' il "sp1" sicuramente e' una parte del virus.Poi trovo un svchost.exe di rete in piu' e non sono + amministratore di sistema.I diritti vengono presi da account sconosciuto,che da remoto controlla la macchina.Nel recycle trovo appunto una cartella che nn si cancella del tipo S-1-5-21-171556784-789336058-854245398-1004  Ripeto tutto cio' subito alla prima installazione dopo un formatt basso livello.Che fare???

  • Salve a tutti. Purtroppo non ho risolto il mio problema se non di usare una live cd di linux....non c'e' altro da fare!!!!Speravo che qualche anima buona e sopratutto competente mi aiutasse a eliminare il problema o a capirci qualcosa,ma nulla.Ho pure telefonato alla microsoft,parlando con i loro tecnici informatici,ma mi hanno solamente inviato x posta il loro malaware remover utility e malawarebyte ! Il problema e' + alla radice:anche dopo formattazione basso livello,il virus rimane!Ho spostato HD form 0 fill e perif min indispens. su altro pc ma gia' alla 1° installazione trovo : virus boot sector write! continue Y/N ?Ma allora riscrive i firmware e /o il bios..??? Spero in un aiuto concreto o passero' definitivamente a linux. Sono fermo da quasi un mese!!!Non vi dico i danni.Saluti cordiali.

  • Mi spiace non aver avuto risposta alcuna,ma non importa ho risolto alla stragrande,a discapito di microsoft ora uso ubuntu(il pinguino) e mi trovo benissimo.Non torno indietro nemmeno se Zio Bill mi ripaga di tutti i danni avuti!!!!!! Salutooz

  • To: logaritmo10

    Certo che migrare da Windows a Linux solo per alcune tue difficoltà riscontrate nel rimuovere questo malware mi sembra alquanto esagerato.

    Comunque volevo semplicemente dirti che anche io ho avuto i tuo stessi problemi e non riuscivo a spiegarmi come mai dopo aver riformattato e reinstallato tutto da capo il malware riappariva; poi però grazie all'aiuto di Feliciano sono riuscito a venirne a capo e a risolvere definitivamente il problema.

    Per quando concerne la tua scelta di migrazione, devo dirti che io utilizzo entrambi i sistemi ed è vero che con Linux non capita quasi mai di imbattersi in problemi come questo, ma è anche vero che l'ambiente Linux o Unix non è facile da gestire come quello Windows e le conoscenze richieste per operare in modo discreto devono essere abbastanza elevate.

    Per concludere, il fatto che tu sia riuscito ad installare una distro facile come Ubuntu non significa che tu conosca e sappia utilizzare Linux, vedrai che in futuro dovrai far fronte a tantissime altre problematiche e quando non saprai venirne a capo a quel punto spero tu capisca che gli intoppi si incontrano su tutti i sistemi sia Linux, Windows che Mac OS X.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment