hit counter
Nuovi chiarimenti su Conficker.D e l’imminente 1° di aprile - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Nuovi chiarimenti su Conficker.D e l’imminente 1° di aprile

Nuovi chiarimenti su Conficker.D e l’imminente 1° di aprile

  • Comments 15
  • Likes

[English version below: "New clarifications about Conficker.D and upcoming April 1st"]

Come previsto, il clamore mediatico su quello che potrebbe accadere il prossimo 1° di aprile a causa della possibile diffusione della nuova variante Conficker.D sta cominciando a crescere a dismisura con l’avvicinarsi della fatidica data, e purtroppo con informazioni non proprio accurate, anzi tipicamente allarmistiche e catastrofiste. Con il mio post precedente avevo già provveduto a fornirvi il mio primo parere sulla base di quanto indicato nella descrizione tecnica del worm, sperando di poter raggiungere due obiettivi, da un lato tranquillizzare rispetto allo scenario di catastrofe che si sta creando sui media, e dall’altro continuare a sollecitare l’impiego di azioni preventive per evitare l’infezione. Spero che quanto ho scritto sia stato già utile per chiarirvi la situazione reale, per le informazioni oggi in nostro possesso. Oggi vi segnalo le nuove risorse che Microsoft Corporation ha pubblicato al riguardo: 

Post del Microsoft Malware Protection Center (MMPC):
Information about Worm:Win32/Conficker.D

Post del Microsoft Security Response Center (MSRC):
Update on Conficker.D

Indicazioni per professionisti IT e specialisti della sicurezza in ambito aziendale:
http://www.microsoft.com/conficker

Indicazioni per gli utenti finali:
Protect yourself from the Conficker computer worm

Se notate, questi nuovi dettagli confermano le indicazioni che vi avevo anticipato:

Dal post MMPC: “So what can we expect on April 1, 2009?  Based on the relatively small number of Conficker.D-infected machines, we believe it’s doubtful that we might experience anything out of the ordinary on April 1.  We will however, just as we normally do, take action on anything unusual that might arise from this.  To remain protected, please ensure that your systems are patched with MS08-067, keep your security software signatures updated, and clean any systems you identify that are infected with any variant of Conficker.”

Vi ricordo che anch’io sto raccogliendo tutte le risorse utili per l’approfondimento del tema Conficker, in questa mia pagina web:

Worm Conficker: considerazioni e risorse per un contenimento efficace

==============================================================

New clarifications about Conficker.D and upcoming April 1st

As expected, the media outcry about what might happen next 1 April 1st due to the possible spread of the new variant Conficker.D is beginning to grow disproportionately as the fateful date is coming, and unfortunately with not accurate, typically scare and catastrophist information. With my previous post I gave my first opinion based on the worm’s technical description, hoping to achieve two objectives, on the one hand reassure you compared to the disaster scenario that you see on media, and continue to urge the use of preventive actions to avoid infection. I hope that what I wrote was already useful to clarify the real situation, based on the information we have now. Today I would point out new resources from Microsoft Corporation in this regard: 

Post from Microsoft Malware Protection Center (MMPC):
Information about Worm:Win32/Conficker.D

Post from Microsoft Security Response Center (MSRC):
Update on Conficker.D

Microsoft Conficker guidance page for IT Professionals and those focused on security in the enterprise:
http://www.microsoft.com/conficker

Microsoft Conficker guidance page for consumers and home users:
Protect yourself from the Conficker computer worm

If note, these new details confirm my early indications:

From MMPC post: “So what can we expect on April 1, 2009?  Based on the relatively small number of Conficker.D-infected machines, we believe it’s doubtful that we might experience anything out of the ordinary on April 1.  We will however, just as we normally do, take action on anything unusual that might arise from this.  To remain protected, please ensure that your systems are patched with MS08-067, keep your security software signatures updated, and clean any systems you identify that are infected with any variant of Conficker.”

I would remind you that I am gathering all the useful resources about Conficker, in this my web page:

Conficker worm: considerations and resources for effective containment

 

Comments
  • PingBack from http://www.hilpers.it/2847959-conficker-che-ne-dite

  • Ciao Feliciano,

    Ho letto anche io i vari articoli presenti in rete riguardo questa nuova variante di Conficker.

    Si è vero, alcuni ne parlano in modo catastrofico, in realta la catastrofe è già avvenuta, quando si parla di 10 milioni di pc infetti, per me è già catastrofe.

    Comunque ipotizzando che il worm in oggetto abbia già contaggiato molti PC, ho voluto fare una simulazione in azienda e verificare la sua eventuale presenza.

    Ho di conseguenza individuato un pc spesso utilizzato per usi poco sicuri su internet e dopo averlo isolato dalla rete aziendale e non da internet, ho spostato la data del bios a giorno 1Aprile.

    Al riavvio tutto funzionava correttamente non ho notato alcun traffico anomalo verso l'esterno, quindi credo che almeno per il momento, nella mia azienda la minaccia è scongiurata.

  • Ciao massimone73, perdonami, ma da quanto ho letto nei tuoi commenti precedenti tu a la tua azienda avete già provveduto ampiamente nell'opera di disinfezione e contenimento di Conficker, già dalle varianti precedenti. Se così fosse, perché avresti dovuto prendere anche questa? E' proprio quest'aspetto che sto cercando di spiegare: questa nuova versione di Conficker NON ha nuovi modi per infettare e non ci si deve attendere una nuova valanga di infezioni su computer già protetti. Un'azienda che ha già bonificato i propri sistemi e li ha tutti irrobustiti con aggiornamento MS08-067 e antivirus aggiornato è ragionevolmente al sicuro da tutte le varianti di Conficker note fino ad oggi (le prossime potrebbero usare altri modi/vulnerabilità).

  • Sono ben consapevole che ormai i rischi sono più bassi poichè tutti i pc sono stati aggiornati e disinfettati.

    La mia preoccupazione è sempre e comunque fondata sul fatto che i programmi Antivirus hanno fatto cilecca nel riconoscere a suo tempo questo malware e ho paura che la cosa si ripeti.

    Non ho ancora risolto in modo efficiente il problema legato all'uso delle pen-drive, che ad oggi rappresentano uno dei metodi più diffusi per la propagazione di virus.

    Rimane inoltre la paura che altri virus come Conficker inizino anche loro a sfruttare la logica di autopropagazione sfruttando le credenziali di accesso dell'utente loggato nel sistema infetto.

  • @massimone73: aggiungo altre considerazioni alle tue preoccupazioni.

    E' vero, i programmi AV hanno faticato a star dietro, ma più passa il tempo e più questo gap si riduce (e stiamo avendo a che fare con Conficker da dicembre).

    Per i dispositivi USB il consiglio è di adottare soluzioni che permettono il controllo da parte dell'amministratore: Windows Vista ha questa funzionalità nativa, per altre versioni credo che si debba far ricorso a soluzioni di terze parti.

    Riguardo alla logica di propagazione: mi sento di ribadire che si deve lavorare sulla prevenzione e non sul contenimento.

  • Nelle ultime ora sta crescendo la preoccupazione in rete per un possibile aumento di traffico previsto

  • Giusto per la precisione: il worm fa un check della data con una GET HTTP su un sito a caso preso da una lista predefinita, quindi la data impostata sul pc non c'entra nulla.

  • Ok grazie per la puntualizzazione, ciò dimostra che chi ha sviluppato questo malware conosce il fatto suo.

  • Ma sui pc con proxy internet configurato (tipicamente le grosse enterprise usano uno o più proxy per uscire su internet) la GET HTTP non dovrebbe riuscire, giusto? Quindi oltre a rilevare traffico di rete verso il proxy e verso i DC (per i tentativi di brute force sulla password dell'utente loggato) non si dovrebbero avere problemi ...

  • salve, io ho letto molti articoli riguardante l'argomento conficker, ma non ho ancora capito come si prende questo virus, e se c'è un modo per prevenire.io lavoro molto col pc, e non vorrei ritrovarmi incasinato...

  • Salve,

    ho provato a fare girare il removal tool "windows-kb890830-v2.8.exe" sulla mia macchina  (processore amd 64, xp home edition, service pack 3 ) e mi dice "applicazione win 32 non valida". Spulciando sulla documentazione del prodotto non mi pare che ci sia nulla che indichi il verificarsi di un tale problema. Quale potrebbe essere il motivo della mancata esecuzione?

  • @crockard: in realtà il worm impersona l'utente del computer infetto e quindi è in grado di navigare su Internet con le stesse libertà/restrizioni che quell'utente ha in azienda. E' sicuramente utile monitorare i log del proxy e capire da quali PC arrivano le richieste "anomale".

    @marco: la risposta esaustiva per dirti come prevenire la trovi nella sezione "prevention" di tutte le descrizioni tecniche di Conficker sul portale MMPC (trovi i link nella mia pagina di riepilogo). Se sei un utente singolo e usi il tuo PC a casa o su reti pubbliche, dovresti già essere aggiornato sia con la patch che con l'antivirus, quindi la prevenzione dovrebbe essere OK: non ti rimane che la cautela in quello che scarichi/installi, o le chiavette USB che utilizzi (anche se l'antivirus dovrebbe intervenire in tutti i tentativi di infezione che dovessi subire in questi casi).

    @antonio: se trovo qualche riscontro simile nella nostra documentazione ti faccio sapere, ma ti consiglierei di aprire una chiamata (è grautita su questi problemi di sicurezza) al nostro customer care italiano, vedi numero nella mie risorse utili per le emergenze di sicurezza, nei link a destra

  • Buongiorno a tutti,

    Presso una società dove svolgo servizio di consulenza informatica abbiamo impiegato quasi tre settimane a ri-sistemare la rete e i pc infetti dal malware conficker(5 varianti).

    La rete fa parte di un dominio e gli utenti non possono fare praticamente nulla senza il (supporto) dell'amministratore, neanche navigare liberamente su internet. Nonostante ciò questo malware è riuscito ad infettare praticamente ogni singolo pc, server compresi. Sapete in che modo ci è riuscito?:

    Premetto che la complessità delle password è elevata, con scadenza trimestrale, la nuova password deve essere completamente diversa dalle 28 precedenti, ecc.. ecc.. Utilizzando la password dell'amministratore locale e non quella dell'amministratore di dominio!, che è la stessa per tutti i pc, quindi il "maledetto" ha avuto vita facile e ha impiegato meno di 48 ore per infettare praticamente tutta la rete.

    E l'antivirus? non è riuscito a fare niente purtroppo lo individuava ma non riusciva a ripulire la macchina infetta quindi ad intervalli di ogni ora(scheduler) partiva l'attacco e l'intera rete diventava inutilizzabile.

    Come abbiamo fatto per eliminarlo?

    1) Abbiamo messo su il server di aggiornamenti microsoft in locale.

    2) Cambiato Antivirus

    3) Cambiato tutte le password

    4) Eliminato tutti i pc con windows 2000

    5) Pregato intensamente per riuscire a liberarci da questa minaccia!

    Saluti

  • Pietrangelo, sei a dir poco fenomenale: proporrò a Microsoft Corp di adottare il tuo pentalogo come best practice a livello internazionale!

  • ... soprattutto per il punto 5) ...;-) Mitico!

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment