Auguri col worm: la variante Conficker.B in circolazione in Italia

Conficker worm: considerations and resources for effective containment

Security Blog di Feliciano Intini — Tue, 24 Mar 2009 14:30:42 GMT

[English version of considerations and best practices will appear below: translation in progress] RESOURCES

re: Auguri col worm: la variante Conficker.B in circolazione in Italia

Mauro — Sun, 08 Mar 2009 15:06:35 GMT

Grazie, Massimo.

Fortunatamente, dopo aver contratto il virus non ho utilizzato nessun accessorio usb. Comunque, mi sono copiato il tuo post, nel malaugurato caso dovesse servire in futuro...

re: Auguri col worm: la variante Conficker.B in circolazione in Italia

massimone73 — Fri, 06 Mar 2009 14:54:50 GMT

Hai scelto la strada migliore e più sicura.

Sappi, comunque, nel caso in cui il tuo pc è connesso ad una rete lan con altri pc (infetti), il virus potrebbe rientrarti nuovamente, anche se hai installato la patch MS08-067.

Il problema è che conficker per autopropagarsi sfrutta non diverse metodologie e non solo la vulnerabilita di windows sanata dalla patch MS08-067.

Conficker, infatti, tenta di autopropagarsi tramite la rete utilizzando le credenziali di accesso del pc infetti.

Inoltre, tieni a mente che tutte le chiavette e gli HD USB che hai utilizzato dopo aver contratto il virus sono tutte infette.

Per disinfettarle segui questa procedura:

Apri risorse del computer, tieni premuto il tasto SHIFT sinistro della tastiera (questo disabiliterà temporaneamente l'autorun) inserisci la periferica usb e attendi almeno 10 secondi prima di rilasciare il tasto shift, poi clicca con il tasto destro del mouse sulla lettera assegnata alla periferica USB e poi su apri.

Abilita la visualizzaione dei file nascosti e disabilita l'opzione "nascondi file protetti e di sistema".

A questo punto devi eliminare il file autorun.inf e una cartella chiamata recycled o simile.

re: Auguri col worm: la variante Conficker.B in circolazione in Italia

Mauro — Fri, 06 Mar 2009 13:05:48 GMT

X Massimone 73:

Ti ringrazio per i consigli (che seguirò successivamente in forma preventiva), tuttavia, stanotte ho deciso che causa il tempo mancante (ho già perso tre giorni per 'sta storia) per questa volta rimedio reinstallando con Ghost la situazione ante-virus (avrò solo la scocciatura di aggiornare i vari programmi, ma vuoi mettere con un'installazione ex novo?!): tempo di recupero operatività, 20 min.

Però, mi sta su dargliela vinta!

Volevo cogliere l'occasione per informare il sig. Feliciano che sulla mia macchina risulta installata fin dal momento della pubblicazione la patch MS08-067, ma il ConfickerB si è confickerato ugualmente, alla faccia di Microsoft!

Buongiorno a tutti e auguroni.

All'ideatore del ConfickerB, che gli prenda un canchero in testa!

P.S.: X Massimone: ho deciso per la soluzione suddetta anche perché mi sono accorto che era stato annullato anche l'update automatico di Windows, nonché un altro paio di voci che ho dovuto ripristinare a mano. Quindi, mi sono chiesto quante altre modifiche avesse operato il bastardo e quali altre sorprese ci si sarebbe dovuti aspettare successivamente. Stanotte ho vagato per forum inerenti il problema della impossibilità di rivisualizzare cartelle e file nascosti. Pare esistano due stringhe nel Regedit da variare e si risolve, ma anche in questo caso bisognerebbe che la cosa fosse accreditata da un tecnico sicuro... Ciao.

re: Auguri col worm: la variante Conficker.B in circolazione in Italia

massimone73 — Thu, 05 Mar 2009 23:09:00 GMT

La disattivazione automatica della visualizzazione dei file nscosti è un sintomo tipico di questo malware.

Per ripulire il pc scarica il tool gratuito di rimozione rilasciato da F-Secure da

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

e la versione dimostrativa valida 15 giorni di Trojan remover.

Utilizza per primo il Trojan Remover, installandolo e aggiornandolo attraverso una connessione ad internet.

Successivamente scollega il pc da Internet e avvia la scansione; dopo pochi minuti, il programma rileverà tutte le minacce attive richiedendo il riavvio del pc per completare la procedura di rimuzione.

Quando il pc si sarà riavviato, esegui il tool di scansione di f-secure.

Per farlo scompatta il contenuto del file zip dentro una cartella sulla radice di del disco C e dal prompt dei comandi entra dentro questa cartella ed esegui: f-downadup.exe --disinfect

La scansione impiegherà alcuni minuti, al termine il pc si riavvierà automaticamente, qualora il tools dovesse trovare il virus in oggetto.

A questo punto il pc dovrebbe essere pulito.

Puoi inoltre utilizzare altri tools di rimozione come questo:

http://www.norman.com/Virus/Virus_removal_tools/24789/

Un altro accorgimento utile che ti consiglio di adottare è quello di disabilitare l'autorun di windows per evitare che il malware o altri virus possano entrare nuovamente sul tuo pc attraverso chiavette o hd usb.

Cerca le varie soluzioni disponibili in rete.

re: Auguri col worm: la variante Conficker.B in circolazione in Italia

Mauro — Thu, 05 Mar 2009 22:26:00 GMT

Pardon, dimenticavo... Il SO è Windows 2000 Service Pack 4

re: Auguri col worm: la variante Conficker.B in circolazione in Italia

Mauro — Thu, 05 Mar 2009 22:24:22 GMT

Purtroppo sto combattendo ora con il suddetto Conficker.B (che gli scoppi il cranio a chi l'ha divulgato!). Io uso ClamWin e sento già i suoi tasti che scrivono "ClamWin? Allora si vuole male!", e ha ragione, perché questo programma più che segnalarti virus, te li fa "intuire" facendo seguire al file la scritta "Permesso negato". Ok, non ho Pc in rete e credo di essermi infettato collegando un hard disck esterno (non mio). Me ne sono accorto perché sono abituato a tenere visualizzate cartelle e file nascosti, mentre nella fattispecie la funzione Visualizzazione si era spostata su Nascondi e non c'è verso di ripristinarla, anche dopo aver rimosso il virus con MRT!

Mi è stato detto che potrebbe essere rimasto il Trojan che eventualmente l'ha introdotto, ma dopo aver letto i suoi post sono più del parere che io come Administrator sia stato aggirato.

Cosa mi consiglia di fare, considerando che ora sembra tutto Ok, per riprendere il comando di tutte le funzioni del SO?

Grazie anticipate. Mauro.

Considerazioni per un efficace contenimento dell'infezione Conficker.B

Security Blog di Feliciano Intini — Tue, 20 Jan 2009 20:46:48 GMT

Credo abbiate letto di come questa infezione si stia diffondendo in modo serio, e non solo in Italia.

Analisi di rischio sui Bollettini di sicurezza Microsoft - gennaio 2009

Security Blog di Feliciano Intini — Wed, 14 Jan 2009 01:31:30 GMT

Questa volta il titolo del post è impreciso: come già anticipato lo scorso venerdì, vi è solo un bollettino

re: Auguri col worm: la variante Conficker.B in circolazione in Italia

Massimone73 — Fri, 09 Jan 2009 01:46:06 GMT

Effettivamente dopo accurate prove, ritengo che il virus si sia propagato proprio attraverso la condivisione $ADMIN di Windows 2K/XP Pro e che la propagazione sia partita da un Server, infetto, con password administrator complessa ma uguale ai client infettati.

Adesso, per l'ennesima volta, ho rimosso il virus sui Server e impostato una nuova password, in questo modo dovrei impedire che la propagazione del virus prosegua.

Inoltre ho acquistato il Prevx-CSI Enterprise e installato l'agent su quasi tutti i Pa aziendali.

Nei prossimi giorno, effettuerò su ogni pc la riattivazione del firewall di windows disattivando l'eccezzione "condivisione file e stampanti", poi cercherò di rimuovere il worm con il Trojan Remover e infine imposterò una nuova password di Administrator e così via su tutti i Pc aziendali.

Dopo questa procedura, attraverso il Comodo Firewall, verificherò se dalla rete locale partano ancora attacchi sulla porta 445.

Qualora i tentativi di propagazione interni cessassero, riattiverò prima internet e dopo la condivisione file e stampanti.

Nel caso in cui tu ritenga errata tale procedura o carente in qualche passaggio, sono pronto ad accettare altri suggerimenti.

Grazie per il tuo aiuto.