Comments

# poohlover63 said:

Ricambio di cuore gli Auguri a Te, alla tua Famiglia ed allo staff di Microsoft, ringradiandoTi ancora una volta per la puntualità con cui riesci semppre a tenerci informati e a contribuire a tenere sempre desta la nostra attenzione.

Saluti,

         Antonio RUOCCO

        Anacapri - Isola di Capri (NA)

31 December 08 at 5:44 PM

# dovella said:

Auguri a te Feliciano e grazie di esistere

BUON 2009!!!!!!!!!!

GRAZIE

31 December 08 at 7:17 PM

# Massimone73 said:

Salve, innanzi tutto voglio esprimerle i miei complimenti per il suo blog e per il fatto che forse è uno dei pochi ad aver parlato apertamente di una così grave falla di windows che dal mese di Dicembre mi ha fatto passare le notti insonne alla ricerca disperata di articoli e forum utili alla risoluzione del problema.

Ma vengo subito al dunque, nei primi giorni di dicembre, nell’azienda per cui lavoro, si sono manifestati sporadici e improvvisi rallentamenti di rete.

Dopo diverse indagini ho capito che la causa era da attribuirsi ad un virus o warm che molto probabilmente era riuscito ad entrare su qualche pc tramite Pendrive e successivamente autopropagatosi su quasi tutti i pc aziendali sprovvisti della patch MS08-067.

In un primo momento ho creduto che l'unica soluzione possibile era quella di riformattare i pc infetti e che avrei passato il resto dei miei giorni in azienda a reinstallare windows.

Ho quindi cercato un'alternativa più umana alla risoluzione del problema cercando di capire da dove partivano gli attacchi che stavano causando il collasso dell'intero sistema informatico aziendale.

Per prima cosa ho disabilitato la connessione Internet su tutti i pc al fine di evitare accessi remoti non autorizzati ed eventuali furti di dati.

Successivamente ho reinstallato su un Pc Windows XP Pro SP3 aggiornato con tutti gli ultimi Updates e soltando dopo, l'ho collegato alla rete aziendale.

Inutile dire che la macchina debitamente patchata era immune agli attacchi.

Ho così capito che dovevo installare una patch di sicurezza e dopo diverse ricerche ho capito che la patch in questione era la KB958644.

Detto fatto, in soli 2 gorni ero riuscito ad installare la patch su oltre 100 PC.

Si lo sò che esiste il WSUS ma avevo da pochi giorni migrato il server da Win2k a Win2k3 e non avevo ancora fatto a tempo a reinstallarlo e a riconfigurarlo.

Purtroppo, è inutile dirlo, come tutti sanno i vaccini servono a poco se somministrati dopo l'infezione, infatti quasi il 90% dei pc patchati erano infetti.

Adesso dovevo identificare e rimuovere il warm.

Ho iniziato a scaricare e a provare tutti i software antivirus e antimalware più diffusi: Spy Boot, MalwareBytes, Windows Defender, etc..., senza alcun risultato nessuno di questi era in grado di rimuovere il malware ne quantomeno di rilevarlo.

Anche il programma antivirus che usiamo in azienda non era riuscito a rilevarlo, era però riuscito a bloccare un virus presente su una Pendrive di un dipendente da cui molto probabilmente il virus era entrato.

Ho continuato su questa strada certo che prima o poi qualcuno di questi software debitamente aggiornato sarebbe riuscito a rilevare e a rimuovere il malware, e dopo 2 giorni la mia caparbietà è stata premiata, avevo trovato un software il "Trojan Remover"  con cui sono riuscito a rilevare e a rimuovere il malware e cosa non da poco, riusciva a farlo in pochi secondi senza bisogno di dover scansionare l'intero Hard-Disk.

Prima di procedere alla rimozione del malware su tutti gli altri pc mi occorreva capire se la rimozione era andata a buon fine.

Di conseguenza ho allestito un Pc adibito a sentinella su cui ho installato windows xp pro sp3 debitamente pachato ma con una marcia in più, un software capace di monitorare gli attacchi provenienti dalle porte tcp 445, il software che ho utilizzato è il Comodo Firewall.

In effetti questo software mi segnalava tutti gli indirizzi ip da cui provenivano gli attacchi; indirizzi Ip che non venivano più segnalati dopo aver operato la rimozione del malware con il Trojan Remover.

Avevo quindi appurato che la rimozione era avvenuta con successo e adesso dovevo proseguire l'opera di rimozione sui pc segnalatomi come attaccanti dal Comodo Firewall.

Dopo altri 3 giorni di estenuante lavoro di installazione e rimozione sono riuscito a debellare la minaccia.

Infatti il Comodo Firewall non mi segnalava più allarmi provenienti dalla rete.

Questo sino a giorno 31, quando improvvisamente gli avvisi sono riapparsi dapprima su alcuni pc precedentemente infettati, successivamente anche su pc che non erano mai stati contagiati.

Ho reinstallato e riscansionato i pc con il Trojan Remover che puntualmente ha rilevato e rimosso il Warm, ma dopo il riavvio quest’ultimo rientra nuovamente.

Questa volta i sintomi sono diversi e più evidenti:

Disattivazione del servizio aggiornamenti automatici.

Disattivazione del firewall di windows.

Creazione di una regola sul firewall di windows con un nome e una porta tcp sempre diversa da pc a pc.

Blocco della risoluzione DNS verso siti Microsoft e tanti altri come F-secure, MalwareBytes, etc..

Inoltre ho notato che il malware si propaga anche sui sistemi su cui precedentemente non era riuscito a propagarsi in quanto era già presente la patch KB958644.

Credo che questa nuova variante di malware sia in grado di bypassare la patch di protezione.

Al momento ho disattivato nuovamente Internet su tutti i Pc in attesa di trovare una soluzione

Spero che Microsoft rilasci presto un'altra patch che sani definitivamente questa grave falla di sistema o comunque che rendi Windows XP e Windows 2003 meno vulnerabili a questo tipo di attacco rispetto a Vista che in tutta questa vicenda è l'unico ad uscirne indenne, almeno per il momento.

Grazie e Auguri di Buon Anno.

03 January 09 at 4:18 PM

# Feliciano Intini said:

@tutti: grazie e ancora auguroni!

@Massimone73: grazie per i complimenti! Per quanto riguarda l'analisi di questo worm ci tengo solo a precisare che non si tratta di un malware che riesce ad aggirare la patch MS08-067 o che sfrutti una nuova falla. E' purtroppo solo un malware che utilizza diverse modalità di propagazione e quindi può attaccare provando a sfruttare le diverse vecchie falle (già tutte corrette da Microsoft), oltre che tentare di indovinare le password deboli. Per quest'ultimo caso, un sistema con password debole può essere infettato anche se è completamente aggiornato rispetto alle security patch.

07 January 09 at 8:31 AM

# Massimone73 said:

Effettivamente dopo accurate prove, ritengo che il virus si sia propagato proprio attraverso la condivisione $ADMIN di Windows 2K/XP Pro e che la propagazione sia partita da un Server, infetto, con password administrator complessa ma uguale ai client infettati.

Adesso, per l'ennesima volta, ho rimosso il virus sui Server e impostato una nuova password, in questo modo dovrei impedire che la propagazione del virus prosegua.

Inoltre ho acquistato il Prevx-CSI Enterprise e installato l'agent su quasi tutti i Pa aziendali.

Nei prossimi giorno, effettuerò su ogni pc la riattivazione del firewall di windows disattivando l'eccezzione "condivisione file e stampanti", poi cercherò di rimuovere il worm con il Trojan Remover e infine imposterò una nuova password di Administrator e così via su tutti i Pc aziendali.

Dopo questa procedura, attraverso il Comodo Firewall, verificherò se dalla rete locale partano ancora attacchi sulla porta 445.

Qualora i tentativi di propagazione interni cessassero, riattiverò prima internet e dopo la condivisione file e stampanti.

Nel caso in cui tu ritenga errata tale procedura o carente in qualche passaggio, sono pronto ad accettare altri suggerimenti.

Grazie per il tuo aiuto.

08 January 09 at 5:46 PM

# Security Blog di Feliciano Intini said:

Questa volta il titolo del post è impreciso: come già anticipato lo scorso venerdì, vi è solo un bollettino

13 January 09 at 5:31 PM

# Security Blog di Feliciano Intini said:

Credo abbiate letto di come questa infezione si stia diffondendo in modo serio, e non solo in Italia.

20 January 09 at 12:46 PM

# Mauro said:

Purtroppo sto combattendo ora con il suddetto Conficker.B (che gli scoppi il cranio a chi l'ha divulgato!). Io uso ClamWin e sento già i suoi tasti che scrivono "ClamWin? Allora si vuole male!", e ha ragione, perché questo programma più che segnalarti virus, te li fa "intuire" facendo seguire al file la scritta "Permesso negato". Ok, non ho Pc in rete e credo di essermi infettato collegando un hard disck esterno (non mio). Me ne sono accorto perché sono abituato a tenere visualizzate cartelle e file nascosti, mentre nella fattispecie la funzione Visualizzazione si era spostata su Nascondi e non c'è verso di ripristinarla, anche dopo aver rimosso il virus con MRT!

Mi è stato detto che potrebbe essere rimasto il Trojan che eventualmente l'ha introdotto, ma dopo aver letto i suoi post sono più del parere che io come Administrator sia stato aggirato.

Cosa mi consiglia di fare, considerando che ora sembra tutto Ok, per riprendere il comando di tutte le funzioni del SO?

Grazie anticipate. Mauro.

05 March 09 at 2:24 PM

# Mauro said:

Pardon, dimenticavo... Il SO è Windows 2000 Service Pack 4

05 March 09 at 2:26 PM

# massimone73 said:

La disattivazione automatica della visualizzazione dei file nscosti è un sintomo tipico di questo malware.

Per ripulire il pc scarica il tool gratuito di rimozione rilasciato da F-Secure da

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

e la versione dimostrativa valida 15 giorni di Trojan remover.

Utilizza per primo il Trojan Remover, installandolo e aggiornandolo attraverso una connessione ad internet.

Successivamente scollega il pc da Internet e avvia la scansione; dopo pochi minuti, il programma rileverà tutte le minacce attive richiedendo il riavvio del pc per completare la procedura di rimuzione.

Quando il pc si sarà riavviato, esegui il tool di scansione di f-secure.

Per farlo scompatta il contenuto del file zip dentro una cartella sulla radice di del disco C e dal prompt dei comandi entra dentro questa cartella ed esegui: f-downadup.exe --disinfect

La scansione impiegherà alcuni minuti, al termine il pc si riavvierà automaticamente, qualora il tools dovesse trovare il virus in oggetto.

A questo punto il pc dovrebbe essere pulito.

Puoi inoltre utilizzare altri tools di rimozione come questo:

http://www.norman.com/Virus/Virus_removal_tools/24789/

Un altro accorgimento utile che ti consiglio di adottare è quello di disabilitare l'autorun di windows per evitare che il malware o altri virus possano entrare nuovamente sul tuo pc attraverso chiavette o hd usb.

Cerca le varie soluzioni disponibili in rete.

05 March 09 at 3:09 PM

# Mauro said:

X Massimone 73:

Ti ringrazio per i consigli (che seguirò successivamente in forma preventiva), tuttavia, stanotte ho deciso che causa il tempo mancante (ho già perso tre giorni per 'sta storia) per questa volta rimedio reinstallando con Ghost la situazione ante-virus (avrò solo la scocciatura di aggiornare i vari programmi, ma vuoi mettere con un'installazione ex novo?!): tempo di recupero operatività, 20 min.

Però, mi sta su dargliela vinta!

Volevo cogliere l'occasione per informare il sig. Feliciano che sulla mia macchina risulta installata fin dal momento della pubblicazione la patch MS08-067, ma il ConfickerB si è confickerato ugualmente, alla faccia di Microsoft!

Buongiorno a tutti e auguroni.

All'ideatore del ConfickerB, che gli prenda un canchero in testa!

P.S.: X Massimone: ho deciso per la soluzione suddetta anche perché mi sono accorto che era stato annullato anche l'update automatico di Windows, nonché un altro paio di voci che ho dovuto ripristinare a mano. Quindi, mi sono chiesto quante altre modifiche avesse operato il bastardo e quali altre sorprese ci si sarebbe dovuti aspettare successivamente. Stanotte ho vagato per forum inerenti il problema della impossibilità di rivisualizzare cartelle e file nascosti. Pare esistano due stringhe nel Regedit da variare e si risolve, ma anche in questo caso bisognerebbe che la cosa fosse accreditata da un tecnico sicuro... Ciao.

06 March 09 at 5:05 AM

# massimone73 said:

Hai scelto la strada migliore e più sicura.

Sappi, comunque, nel caso in cui il tuo pc è connesso ad una rete lan con altri pc (infetti), il virus potrebbe rientrarti nuovamente, anche se hai installato la patch MS08-067.

Il problema è che conficker per autopropagarsi sfrutta non diverse metodologie e non solo la vulnerabilita di windows sanata dalla patch MS08-067.

Conficker, infatti, tenta di autopropagarsi tramite la rete utilizzando le credenziali di accesso del pc infetti.

Inoltre, tieni a mente che tutte le chiavette e gli HD USB che hai utilizzato dopo aver contratto il virus sono tutte infette.

Per disinfettarle segui questa procedura:

Apri risorse del computer, tieni premuto il tasto SHIFT sinistro della tastiera (questo disabiliterà temporaneamente l'autorun) inserisci la periferica usb e attendi almeno 10 secondi prima di rilasciare il tasto shift, poi clicca con il tasto destro del mouse sulla lettera assegnata alla periferica USB e poi su apri.

Abilita la visualizzaione dei file nascosti e disabilita l'opzione "nascondi file protetti e di sistema".

A questo punto devi eliminare il file autorun.inf e una cartella chiamata recycled o simile.

06 March 09 at 6:54 AM

# Mauro said:

Grazie, Massimo.

Fortunatamente, dopo aver contratto il virus non ho utilizzato nessun accessorio usb. Comunque, mi sono copiato il tuo post, nel malaugurato caso dovesse servire in futuro...

08 March 09 at 8:06 AM

# Security Blog di Feliciano Intini said:

[English version of considerations and best practices will appear below: translation in progress] RESOURCES

24 March 09 at 7:30 AM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

Name (required) 

Your URL (optional)

Comments (required) 

  

Enter Code Here: Required

Remember Me?