Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Schiaccianoci — Wed, 07 Jan 2009 11:48:29 GMT

su macchina infetta GMER non mi rileva nessun servizio nascosto... bisogna prima rimuovere il driver che lo nasconde? dall'articolo avevo capito non fosse necessario.

Help!

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 12:27:07 GMT

Ciao Schiaccianoci,

Verifica che effettivamente sia presente quel tipo di virus eseguendo una scansione con Windows Live OneCare Safety scanner disponibile gratuitamente online a questo indirizzo:

http://onecare.live.com/site/it-it/default.htm

Inoltre, ti consiglio di controllare se nel "Task Scheduler" sono presenti dei job come indicato nell'articolo.

Grazie per la collaborazione e Buona giornata

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

schiaccianoci — Wed, 07 Jan 2009 12:29:58 GMT

si si, nel task scheduler sono presenti task at1 at2 etc... (anzi: erano presenti ora li ho rimossi)

forefront mi identifica conficker.b.

Category:

Worm

Description:

This program is dangerous and self-propagates over a network connection.

Advice:

Remove this software immediately.

Programs that may compromise your privacy or damage your computer were detected. You can still access the file without removing the threat, although this is not recommended. To do so, select "Always Allow" as the action and click the "Apply Actions" button. If this option is not available, log on as an administrator or ask an administrator for help.

Detected by:

Definition file

Resources:

file:

C:\WINDOWS\system32\jfwnog.wi

niente servizio nascosto. forse ho una variante? ho letto che si autoaggiorna via internet (la navigazione dai server è bloccata da qualche giorno)

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 12:56:45 GMT

Attualmente Forefront è in grado di rilevare le ultime varianti di Conficker e rimuoverle dal sistema. Se hai già eseguito la pulizia del server è normale che non identifichi più il servizio.

Verifica inoltre di avere l'ultima versione delle definizioni antivirus disponibili a questo indirizzo:

http://www.microsoft.com/security/portal/

Considera che altri server infettati nella rete possono ridistribuire il virus su dei server già puliti e per questo è fondamentale seguire i punti indicati nel post per ridurre il diffondersi dell'infezione.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Wed, 07 Jan 2009 13:38:12 GMT

Nel Server 2003 Enterprise ha trovato viugljel. Al tentativo di rimozione mi avverte : This Action might Crash...

Vado avanti?

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 13:46:08 GMT

Ciao Grenzo,

dipende da quale antivirus stai utilizzando: ForeFront e OneCare sono in grado di rimuovere il virus in maniera corretta.

Come indicato in procedura è consigliato riavviare il server e verificare che non ci siano task schedulati da parte di altri server infettati nella rete.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Wed, 07 Jan 2009 13:47:51 GMT

Sempre nel 2003 Enterprise mi trova varie righe Type:SSDT che non possono essere rimosse ma solamente : Restore SSDT, cosa sono?

Grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Wed, 07 Jan 2009 14:00:14 GMT

No, ho il TREND OFFICESCAN ma non si aggiorna, e' il GMER che trova viugljel. Se vado aventi nella rimozione mi dice: Are you sure you want to delete service file "viugljel" - "C:\Windows\System32\svchost.exe". Vado avanti? svchost.exe e' un servizio fondamentale di Windows? puo' essere compromesso?

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 14:49:30 GMT

Ciao Grenzo,

Per quanto riguarda la rimozione del file da parte di GMER, puoi procedere come indicato nel post in quanto sarà cancellato solo il file che contiene il virus e non il programma svchost.exe.

Per quanto riguarda Trend OfficeScan, ti consiglio di eseguire l'aggiornamento manuale se non riuscisse ad aggiornarsi automaticamente in modo da poter essere protetto dalle ultime versioni del virus.

Per le informazioni riguardo SSDT è una tabella utilizza dal sistema operativo per gestire le chiamate da user mode a kernel mode: System Service Descriptor Table.

In questo modo un malware modificando la tabella può intercettare tutte le chiamate verso il kernel, dirottarle al suo codice e modificarne il comportamento.

Non può essere rimossa ma solo ripristinata ai valori di default.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Wed, 07 Jan 2009 15:35:57 GMT

Ok, grazie 1000, ma tu sai come si fa la scansione manuale di Trend? Nel sito non ho trovato spiegazioni decenti, cmq utilizzo l'ultimo pattern ed il programma sysclean.com il quale lancia il programma DOS VSCANTM che si dichiara pero' compatibile con le piattaforme: 9x/Me/NT/2000/XP ma niente 2003.

Esiste un buon Antivirus che abbia una buona assistenza?

grazie ancora

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Wed, 07 Jan 2009 15:48:46 GMT

Ho qualche problema con GMER: lanciandolo su qualche server mi dice:

Create File: "C:\Documents and Settinggs\Administrator\Windows\System32\drivers\gmer.sys":The system cannot find the path specified..

Come mai? Su altri server ha funzionato...

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 16:13:21 GMT

Ciao Grenzo,

per quanto l'antivirus Trend non ti posso aiutare in quanto non è sviluppato da Microsoft. Quelli sviluppati direttamente da Microsoft sono Forefront (enterprise):

http://www.microsoft.com/italy/server/forefront/default.mspx

e OneCare (client):

http://www.microsoft.com/italy/windows/onecare/default.mspx

Per maggiori informazioni riguardo GMER, fai riferimento al sito ufficiale:

http://www.gmer.net/faq.php

Consiglio di abilitare il file di log come indicato nell'ultima domanda.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Wed, 07 Jan 2009 17:21:38 GMT

Grazie, esiste un blog/newsgroup possibilmente in italiano in cui si discute di Forefront? ( sarei fortemente interessato... )

ciao e grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 17:51:00 GMT

Ciao grenzo,

Il newsgroup Microsoft ufficiale in italianio che parla di sicurezza lo trovi qui:

http://www.microsoft.com/italy/communities/newsgroups/default.mspx?dg=microsoft.public.it.sicurezza&lang=it&cr=IT&r=313b62a2-c5d6-47f7-8132-aa4a4c1001af

Mentre il newgroup specifico in Inglese riguardo a Forefront lo trovi qui:

http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.security.forefront&mid=54c9bd92-f844-44f9-b7e5-0f4f5fefef90

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Francesco Fabbri — Wed, 07 Jan 2009 18:01:15 GMT

Salve.

Questo virus tristemente famoso ha infettato tutta la nostra rete, client e server compresi! Trend Micro Officescan aggiornato trova il virus (come WORM_DOWNAD.AD) ma il problema e la diffusione continuano. Sto facendo girare il Windows Live OneCare Safety scanner su alcune macchine. In attesa del risultato, chiedo ai luminari:

Ma se su tutti i nostri client e server risulta già installata la fix KB958644 (MS08-067) come mai il virus che sfrutta questa vulnerabilità continua a diffondersi ???

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 18:38:41 GMT

Ciao Francesco,

il virus utilizza la vulnerabilità risolta dall'aggiornamento MS08-067 come primo tentativo per la diffusione.

Se questa è risolta, prova con l'accesso alla share Admin$ degli altri computer presenti in rete cercando di forzare le password degli utenti.

Quindi anche un solo computer infettato nella rete continuerà ad infettare gli altri.

Il consiglio è quello di disabilitare il servizio Server durante la pulizia dei server e periodicamente controllare la presenza di job nel "Task Scheduler" con il nome AT*.job come indicato nel post.

Utilizzando poi utenti locali con password sicure, si ridurranno i rischi di infezione interna da un computer ad un altro in quanto non riuscirà ad entrare sulla share Admin$

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Francesco Fabbri — Wed, 07 Jan 2009 18:59:32 GMT

Grazie per la risposta tempestiva.

Ho cambiato su alcuni Member Server e su alcuni pc la pwd del Administrator locale e il problema per il momento sembra tamponato.

Ma sui Domain Controller come posso risolvere il problema? Mi tocca cambiare la password di tutti i Domain Admins?

Grazie ancora per la disponibilità.

Buon lavoro

Francesco Fabbri

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Francesco Fabbri — Wed, 07 Jan 2009 19:14:56 GMT

Per conoscenza, il problema si presenta anche dopo aver cambiato la password dell' Administrator locale. Temo che ci sia qualche domain admins con password debole a questo punto.

C'è modo di capire con quale utente il virus riesce a diffondersi?

Sui Domain Controller vedo una miriade di Failure Audit di tipo Logon/Logoff.

Grazie ancora.

Francesco

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 19:18:26 GMT

Ciao Francesco,

sui Domain Controller puoi utilizzare solo utenza Amministrazione.

Ed è per questo che per eseguire la pulizione è consigliabile disattivare il servizio Server per limitare la diffusione.

In tutti gli altri server è invece consigliabile usare utente di amministrazione locale in quanto il virus anche utilizzando quelle credenziali non riuscirà ad accedere agli altri server.

Per il cambio delle password, sarebbe altamente consigliato modificarle per amministratori locali e di dominio utilizzando password complesse.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 19:42:51 GMT

Ciao Francesco,

risulta complesso capire l'utente con cui prova ad accedere al server in quanto è un attacco di tipo forza bruta.

E' più semplice capire il server di origine dell'attacco utilizzando il tool di TCP View che trovi a questo indirizzo:

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

Inoltre puoi utilizzare anche il comando NETSTAT -ONA per visualizzare le statistiche sulle connessioni attive.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Francesco Fabbri — Wed, 07 Jan 2009 20:45:07 GMT

Abilitando gli Audit di accesso al Logon e all'accesso degli oggetti su un PC ho visto che i task schedulati ATxxx.job vengono creati usando le credenziali di Administrator di dominio, la cui password è sicuramente complessa e non contenuta nell'elenco evidenziato sul sito TrendMicro. A questo punto credo che il Virus o riesce ad intercettare le password con un keylogger o similare oppure sfrutta una macchina infettata in cui l'Administrator di dominio è loggato e si diffonde in rete usando il passthrough dell'autenticazione. Cosa ne pensate?

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 07 Jan 2009 20:56:44 GMT

Ciao Francesco,

si come riportato nel post "Il malware impersona l’utente loggato interattivamente e accede alle risorse di rete usando queste credenziali." quindi è fondamentale sloggare tutti gli amministratori di dominio dai server e usare dove possibile utenti locali.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Davide Lama — Thu, 08 Jan 2009 00:09:29 GMT

Ragazzi, abbiamo lo stesso problema su server e workstation, circa 6000 unità. la prima pezza per bloccare il fenomeno a livello locale è chiudere brutalmente la porta 445 e la 135 con Windows Worms Doors Cleaner disponibile all'inidirizzo http://www.firewallleaktester.com/wwdc.htm. Funziona sia sui client Xp e 2000 che sui sistemi Server

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 08 Jan 2009 00:35:58 GMT

Ciao Davide, grazie per la segnalazione.

Considera che in ambienti di produzione bloccare le porte 445 e 135 su tutti i server di produzione può portare ad errori anche gravi di funzionamento dell'intera rete.

In più non possiamo garantire un corretto funzionamento di programmi di terze parti non sviluppati direttamente da Microsoft.

Grazie e Buona serata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Davide Lama — Thu, 08 Jan 2009 01:05:42 GMT

Si , mi rendo conto, infatti chiudendo le 2 porte che usa il worm almeno sui sistemi workstation riusciamo a tamponare. Sono d'accordo con il discorso in ambiente Server, infatti da questo punto di vista stiamo avendo non pochi problemi. Fortunatamente con l'utilizzo di Windows Worms Doors Cleaner su Isa server infetto siamo riusciti a riaccedere a tutti i siti che ci aveva bloccaro il worm e di conseguenza tutte le macchine collegate via proxy :)

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Claudio — Thu, 08 Jan 2009 10:15:39 GMT

Ho eliminato sul client con Gmer il servizio nascosto ma dopo al riavvio non funzionano pi� decine di servizi , il copia/incolla , e m i ritrovo la macchina non pi� collegata in Workgroup ma in Dominio e senza possibilit� di cambiare le opzioni...

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 08 Jan 2009 12:09:10 GMT

Ciao Claudio,

Come indicato nel post, il virus arresta o disabilita alcuni servizi fondamentali del server ed è per questo che il modo migliore per rimuoverlo è tramite Antivirus installato nel server o il tool di scansione online offerto da Microsoft.

Per quanto riguarda gli altri problemi è necessario avere i dati del server. Quindi ti consiglio di contattare il nostro supporto tecnico come spiegato in questa pagina:

http://support.microsoft.com/default.aspx?ln=it

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Francesco Fabbri — Thu, 08 Jan 2009 12:45:51 GMT

Vi consiglio di far girare sui PC tramite policy questo script per arginare la diffusione. Ovviamente le Schedulazioni sui PC non funzioneranno più!

********************************************************************

if not exist %windir%\SYSTEM32\taskkill.exe copy \\yourdomain.local\sysvol\yourdomain.local\scripts\WORM_DOWNAD\taskkill.exe %windir%\SYSTEM32\

if not exist %windir%\SYSTEM32\sc.exe copy \\yourdomain.local\sysvol\yourdomain.local\scripts\WORM_DOWNAD\sc.exe %windir%\SYSTEM32\

taskkill /IM rundll32.exe /F

net stop schedule

del %windir%\Tasks\AT*.job

sc config schedule start= disabled

sc config ERSVC start= demand

sc config BITS start= demand

sc config WUAUSERV start= auto

sc config WSCSVC start= auto

********************************************************************

Buon lavoro

Francesco Fabbri

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 08 Jan 2009 12:56:35 GMT

Ciao Franesco,

grazie per aver condiviso lo script.

Ovviamente come Microsoft non possiamo garantire il corretto funzionamento ed è da utilizzare "AS IS" senza alcuna garanzia come indicato nella sezione "Copyright".

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Thu, 08 Jan 2009 19:59:01 GMT

Esiste qualche tool di rimozione ? Il TREND adesso lo riconosce ( pattern 5.757 ) il GMER e' stato passato ma le entry nello Schedule task si ricreano di continuo....L' efftto si calma un po' e poi si riscatena di nuovo...

Grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

CJB — Thu, 08 Jan 2009 20:00:41 GMT

Non c'è nessun driver che nasconde il servizio. Il file temporaneo che avete trovato è il driver utilizzato per la modifica del driver tcpip.sys al fine di sbloccare le connessioni nei sistemi Windows XP SP2

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 08 Jan 2009 20:18:16 GMT

Ciao grenzo,

ho aggiornato la procedura di rimozione manuale che esclude l'utilizzo del GMER.

I task sono riceati perchè un altro server infetto accede alla Admin$ dei PC da infettare e crea il task.

Segui i punti descritti nel post per contenere l'infezione.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 08 Jan 2009 22:35:29 GMT

Ciao a tutti,

vi segnalo questo tool sviluppato da F-Secure da provare per rimuovere il virus in maniera automatica:

http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Considerate che è in beta e quindi non supportato in caso di problemi.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Stefano — Fri, 09 Jan 2009 01:26:16 GMT

Non potendo fermare il servizio di schedulazione ho risolto brutalmente con un file batch del tipo:

del c:\windows\tasks\at*.*

del \\server1\c$\windows\tasks\at*.*

del \\server2\c$\windows\tasks\at*.*

del \\server3\c$\windows\tasks\at*.*

schedulato ogni 5 minuti su uno dei server...

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Fri, 09 Jan 2009 01:45:28 GMT

Ciao Stefano,

grazie per aver condiviso lo script.

Questo limita la diffusione del virus agli altri server in quanto viene rimosso il task che installerà il virus sui server indicati.

Successivamente bisogna procedere alla pulizia dei server di origine che creano i file AT*.job e che risultano ancora infettati.

Grazie e Buona serata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Roberto — Fri, 09 Jan 2009 03:08:04 GMT

per me spegnere il servizio server durante la pulizia era impensabile. così ho di fatto tolto solo lo share ADMIN$ con il comando:

net share admin$ /delete

tale share viene utilizzato dal virus per copiarsi sui sistemi sani per ora sembra funzionare e le macchine con ADMIN$ disabilitato mi restano pulite.

NB: attenzione se riavviate lo share viene ricreato automaticamente dal sistema.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Livio — Fri, 09 Jan 2009 11:40:17 GMT

su una rete di molti client e server, monitorando i link principali con ids/ips posso sapere quali sono esattamente i pc infetti ?

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Fri, 09 Jan 2009 16:11:21 GMT

In effetti sarebbe estremamente utile sapere chi e' infetto e va ad infettare gli altri pc, altrimenti non ne usciamo fuori... :-((

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Fri, 09 Jan 2009 16:37:52 GMT

Ciao Livio e grenzo,

purtroppo non esiste un modo automatico per verificare che l'infezione sia presente.

Un indizio può essere la presenza dei file AT*.JOB nella cartella %windir%\Tasks ma non implica che il server sia effettivamente infettato.

In caso di blocco del servizio Server, il tool TCP View può aiutare ad individuare la fonte dell'infezione.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Ilario — Fri, 09 Jan 2009 20:01:48 GMT

Non so se sia lo stesso, ad esempio gli utenti non risultano bloccati e non trovo nessun task schedulato, ma per il resto il comportamento coincide punto punto.

Ho risolto con gmer cancellando il servizio nascosto su tutti i PC e su alcuni server ed ho bloccato la contaminazione. I servizi li ho ristabiliti manualmente perché se partono in automatico al prossimo riavvio il trojan si rigenera. Ho lasciato appositamente due server contaminati per verificare la tipologia di diffusione e in tre giorni c'è il servizio scvhost che lavora tantissimo assieme al processo lsass. Solo su un server gmer dà anche a me l'errore su: C:\Documents and Settings\Administrator\Windows\System32\drivers\gmer.sys.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Stefano — Fri, 09 Jan 2009 21:04:03 GMT

Per controllare che macchine erano compromesse ho attivato l'audit sui Domain Controllers "audit account logon events" e "Audit logon events" sia come success che failure.

Dopo i primi giorni di flood tramite brute force falliti (per capirsi in una rete da un centinaio di pc di cui 3/4 infetti su un'ora decine di migliaia di logon failure) tramite EventCombMT (di Microsoft?) selezionando i DC, log security, type failure audit, Event id 675 mi son via via passato tutti i pc che cercavano di loggarsi con password sbagliate.

Ora toccando ferro vedo la fine del tunnel dopo 5 giorni di pulizie service pack e patch.

Per la cronaca stamattina anche trend è uscita con un fixtool qua http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=Sn

e esiste già la variante WORM_DOWNAD.AE

Ciao

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Fri, 09 Jan 2009 22:45:39 GMT

Ciao Stefano,

grazie per le informanzioni: aggiorno il post in modo da includere anche quel tool.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sat, 10 Jan 2009 13:19:04 GMT

Nell' articolo si dice:

Potrebbe esserci una voce nella seguente chiave di registro che avvia il malware e che deve essere rimossa

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

io ho:

C:\WINDOWS\system32\ctfmon.exe

devo rimuoverla?

p.s. purtroppo la FIX di Trend non funziona, almeno da me...

Grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

orione — Sat, 10 Jan 2009 14:04:54 GMT

neanche a me ..e da stamatt alle 7 che sono al ced ..ho schedulato quello che brasa gli at* .. :((((

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Stefano — Sat, 10 Jan 2009 16:28:47 GMT

cftmon.exe dal sito microsoft:

"Ctfmon.exe attiva il processore per l'input di testo (TIP, Text Input Processor) di Input alternativo utente e la barra della lingua di Microsoft Office." direi che non va cancellato dal run.

Dico la mia esperienza-incubo:

Essenziale è avere l'antivirus aggiornato sulla macchina, dopo di che la chiave di registro che ritengo più importante è

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost nella quale c'e' netsvsc da modificare cancellando l'ultima voce che nelle macchine infette sono una serie di lettere a caso (una ricerca con google di tale voce se non dà risultati è quasi sicuro sia file random del virus)

poi sul pannello servizi si rimette in automatico i servizi che disabilita il virus (tra i quaili windows update e bits) patch MS08-067, cancellazione dei comanti AT nello scheduler e riavvio. Per prima cosa passarsi i server poi le macchine con diritti amministrativi tipo ced o direzione. Chi avesse dischi mappati sui pc controllare che non ci sia un autorun di sistema e nascosto da qualche decina di kb sulla root di tale disco. Ho notato che avendo delle home folders sul server degli utenti, tipo la classica mappatura stile NT di U: sul server per gli utenti, l'autorun.inf infetto lo si puo' cancellare dal server con classica una ricerca file (io ne ho trovati almeno una decina sulle home e l'antivirus non le rileva).

Son 2 giorni che non ho richeste strane sul server avendo attivato l'audit delle password sbagliate e la situazione sembra risolta.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

dario — Sat, 10 Jan 2009 18:22:55 GMT

Scusate vorrei sapere se questo virus è una variante o uguale a win32/autorun-rx che segnala la sophos perchè a quanto pare credo che faccia danni simili ma sfrutta un' altra vulnerabilità cioè la LSASS descritta nel Microsoft Security Bulletin MS04-011. I sintomi sono active directory non più visualizzabile alcuni servizi apparentemente avviati non funzionano tipo: server, browser computer e accesso rete impossibile accedere da un altro computer con il desktop remoto forse per via di quei servizi ahh. e dominio inesistente o non disponibile. Il sistema Windows 2003 Server era con SP1 ho aggiornato tutto fino all' ultimo fix ma il problema rimane. Ho fatto tutto quello che stato spiegato qui ma non trovo nessun riferimento.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sat, 10 Jan 2009 19:07:27 GMT

Ciao Dario,

il virus che hai indicato è un altro tipo. L'elenco dei nomi dato al virus dalle varie società di Antivirus lo trovi qui:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.B

Per avere maggiori informazioni esegui una ricerca nella sezione Security del sito Microsoft:

http://www.microsoft.com/security/portal/SearchResults.aspx?query=win32%2Fautorun-rx

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sat, 10 Jan 2009 19:21:04 GMT

News sui tool di rimozione? E si che alla Trend, x esempio, diamo una vagonata di $... :-(

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sat, 10 Jan 2009 19:31:42 GMT

Ciao

Stefano dice:

sul server per gli utenti, l'autorun.inf infetto lo si puo' cancellare dal server con classica una ricerca file (io ne ho trovati almeno una decina sulle home e l'antivirus non le rileva).

Basta cercare con Cerca --> File E cartelle --> nel campo Nome del file inserire : autorun.inf --> altre Opzioni avanzate [x] Cerca nei fil e nelle cartelle nascosti \ [x] Cerca nelle sottocartelle?

Non trovo niente...:-(

Poi:

Son 2 giorni che non ho richeste strane sul server avendo attivato l'audit delle password sbagliate e la situazione sembra risolta.

Come si attiva l'audit delle password sbagliate? Avete cambiato la password dell'amministratore di dominio?

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sat, 10 Jan 2009 19:40:38 GMT

Ciao grenzo,

Qui è spiegato come abilitare audit per logon/logoff

http://technet.microsoft.com/en-us/library/cc736727.aspx#Enable_Logon_Failure_Auditing

Per quanto riguarda Trend, devi sentire direttamente loro perchè non ho contatti diretti.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sat, 10 Jan 2009 19:42:39 GMT

Veramente di Autorun.inf adesso ne trovo ma hanno tutti le dimensioni di 1 KB e sembrano inseriti in directory di applicazioni che sono installate nel server.

Cancello tutto? Potrebbe non funzionare qualcosa?

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sat, 10 Jan 2009 19:49:11 GMT

Ciao grenzo,

come riportato nel post, vedi aprire i file con il notepad e verificare che siano dei file TXT validi e non contengano link a programmi sconosciuti o siano loro stessi dei virus nascosti da "autorun.inf".

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Stefano — Sat, 10 Jan 2009 21:21:25 GMT

@grenzo

gli autorun.inf che ho trovato differivano dai soliti da 1k o 2k tipo:

[autorun]

open=Setup.exe

icon=pippo.ico

ma erano mi sembra da circa 90k e se li aprivi col notepad uscivano solo sgiribizzi, ne ho trovato uno anche su una chiavetta usb... quindi farei attenzione a caricarsi fix e tools sulla chiavetta per controllare i pc perche magari si fa da untori...

Per la domanda se abbiamo cambiato la password di Administrator, no, non ancora almeno. A mio avviso il virus (a meno che la password non rientri nella lista di circa 250 password che tenta http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T secondo me non la puo' conoscere in quanto è crittografata in AD e non fa keylogging.

Il problema è che "impersona" l'utente loggato e se questo è amministratore trova campo libero sulle condivisioni amministrative dei pc in dominio. Cambiare la password per me non serve a niente visto che l'amministratore di turno con la password nuova di 20 caratteri fa login e il virus fa comunque quello che deve fare tramite le credenziali dell'utente.

Per quanto rigurda invece l'amministrotore locale sui pc quella si che è un problema, dal momento che spesso e volentieri ci si trova con pc del dominio con password di administrator locale debole (es password) o inesistente. Quindi ti ritrovi che hai pulito il server, il domain admin è sicuro, ma il virus passa di pc in pc perchè becca le password di local admin dei client.

Almeno questa è stata la mia impressione

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sun, 11 Jan 2009 00:50:34 GMT

Ok, infatti x ora ho cambiato le password di Administrator locale e non quella del di Administrator di dominio, pero' se parte dal server entra nel pc Client perche' l'Administrator di dominio e' anche Administrator locale..:-(.

Qualche PC che sembra *pulito* con regedit, Autorun.inf etc. anche a rete staccata fa apparire le maschere di Alert dell'antivirus Trend che rileva il WORM_DOWNAD.AD, vuol dire che il PC e' infetto?

Poi, qualcuno ha parlato di una policy di dominio che disabiliti tutte le share ADMIN$ dei PC e dei Server. Qualcuno sa come si fa? E' consigliabile?

Ciao e grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sun, 11 Jan 2009 01:08:47 GMT

Ciao grenzo,

Uno dei metodi utilizzati per diffondere l'infezione avviene tramite l'accesso alla share admin$ ai computer collegati in rete.

Per poterla rimuovere, anche se è presente nella procedura ufficiale del post, devi eseguire il seguente comando:

net share admin$ /delete

come consigliato da Roberto alcuni messaggi sopra.

Se vuoi che il comando sia eseguito su tutti i computer devi impostare uno "Startup script" a livello di dominio e riavviare i PC, oppure eseguire il comando da remoto con PSEXEC:

http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

Considera comunque che al successivo riavvio, se non ha impostdato nessuno script di startup, la share ADMIN$ sarà ricreata automaticamente.

Grazie e Buona serata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sun, 11 Jan 2009 15:31:58 GMT

Ciao a tutti,

ci sono stati dei problemi nella pubblicazione dei commenti che sembrano rientrati.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

orione — Sun, 11 Jan 2009 18:12:45 GMT

ma siamo tutti utenti trend-micro? ma la trend-micro che fa? a mio avviso non debella questo worm. A me era già successo con il korgo 3 (o 4 non ricordo..) anni fa. L' avevo preso su vari client, il pattern non esisteva, si era diffuso prima il virus che la soluzione da parte di trend...dopodiche passati alcuni giorni il pattern e lo scan engine si sono aggiornati e l'ha debellato automaticamente sui client infetti. SPERO faccia cosi' a breve anche con questo...

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sun, 11 Jan 2009 18:16:38 GMT

Vorrei realizzare uno script di logon x disabilitare $Admins di tutti i pc e server della rete: ho realizzato un file .bat che contiene il comando ma dove lo devo inserire? in C:\WINDOWS\SYSVOL\domain\scripts del server di dominio? C'e' un articolo che spiega dettagliatamente come realizzare uno script di startup tramite le policy di dominio?

Grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sun, 11 Jan 2009 18:21:17 GMT

Ciao Grenzo,

per creare uno script di Startup fai riferimento alla guida presente sul technet:

Assign computer startup scripts

http://technet.microsoft.com/en-us/library/cc779329.aspx

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sun, 11 Jan 2009 18:45:30 GMT

Ciao orione,

Riguardo a trendmicro, puoi trovare un po' di informazioni sui virus conosciuti a questo indirizzo:

http://www.trendmicro.com/vinfo/

La variante del Conficker per TrendMicro è chiamata "Downad.AD" rilevata il 30 Dicembre:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD

Per quanto riguarda Symantec, abbiamo queste infezioni:

http://www.symantec.com/norton/security_response/threatexplorer/threats.jsp

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sun, 11 Jan 2009 18:45:42 GMT

Ok, grazie inoltre e' consigliabile arrestare il servizio * Task Scheduler* ( Utilita' di pianificazione in italiano ) su tutti i PC ed i Server?

Grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sun, 11 Jan 2009 18:59:14 GMT

Ciao grenzo,

conviene fare entrambe le cose.

Cancellare tutti i task che potrebbero essere infetti con il comando:

del %windir%\Tasks\*.job

e arrestare il servizio Task Scheduler:

net stop schedule

Infine puoi impostare il servizio in disable in modo che non si avvii automaicamente:

sc config schedule start= disabled

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sun, 11 Jan 2009 19:45:45 GMT

Ho attivato la policy di dominio x disabilitare $Admins, ma adesso non vedo piu0 le cartelle condive dei server. E' normale?

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sun, 11 Jan 2009 19:58:13 GMT

Ciao grenzo,

solo se hai disattivato anche il servizio "Server" che gestisce l'accesso alle share di rete.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sun, 11 Jan 2009 20:12:46 GMT

No il servizio Server e su' sia nel server che nel client che cerca di connettersi alla cartella condivisa ..:-(

cmq, i comandi :

del %windir%\Tasks\*.job

net stop schedule

sc config schedule start= disabled

posso inserirli nello script di logon del dominio insieme a:

net share admin$ /delete ?

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sun, 11 Jan 2009 20:17:33 GMT

Ah, x il server che non mette piu' a disposizione le directory condivise ( ne fa vedere solo una veramente.. ) dove posso guardare? Dell'unica che fa vedere mette a disposizione solamente la directory associata all'utente e non quelle degli altri utenti ( anche se la condisione e' everyone ),A forza di abilita/disabilita servizi ecc.. puo' essere avvenuta qualche restrizione?

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sun, 11 Jan 2009 20:30:36 GMT

Ciao grenzo,

si i comandi indicati posso essere inseriti come Script di Logon (ovvero eseguiti in fase di logon degli utenti) oppure come Script di Startup (ovvero eseguiti in fase di accensione del computer).

Per quanto riguarda le share disponibili puoi provare a lanciare il seguente comando:

wmic share get caption,name,path

oppure se WMI ha problemi, questo:

net view \\%computername% /all

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Sun, 11 Jan 2009 22:39:52 GMT

Ok, bene, un'ultima domanda : come faccio a controllare che lo script di dominio sia stato eseguito nei server e client che sono stati accesi ( o riavviati ) dopo l'inserimento dello script?

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Sun, 11 Jan 2009 23:01:11 GMT

Ciao grenzo,

Puoi utilizzare il comando:

gpresult /s %computername% /r

Oppure più semplicemente verificare su quali computer è presente la share admin$ oppure verificare lo stato dei servizi che hai disabilitato:

sc \\%servername% query %servicename%

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

massimone73 — Mon, 12 Jan 2009 17:38:44 GMT

Ciao a tutti,

dopo aver passato giorni di inferno nell'azienda in cui lavoro a causa del virus in questione, vorrei confermare che la propagazione avviene attraverso le condivisioni $ADMIN, sempre se la password di administrator dei client sono uguali tra loro o peggio ancora, a quelle dei server.

Per rimuovere il virus su tutti i Pc aziendali stò effettuando i seguenti passi:

Ho inizialmente rimosso dai server il virus tramite i 2 tools di rimozione rilasciati da F-Secure e subito dopo reimpostato una nuova password.

Inoltre in alcuni casi ho anche effettuato una scansione con il programma Trojan Remover che in pochi secondi riesce a beccare i servizi in esecuzione e ad eliminarli.

Successivamente ho iniziato a ripulire i client seguendo la stessa identica procedura adottata per i server.

Il metodo sembra funzionare, infatti, attraverso l'utilizzo di un PC su cui ho installato Comodo Firewall, riesco a capire da quali PC giungono i tentativi di propagazione del virus sulla porta TCP 445.

Inizialmente Comodo mi segnalava quasi tutti gli indirizzi IP dei Pc aziendali, adesso dopo la rimozione, mi segnala soltanto quelli su cui non ho ancora passato i tools di rimozione.

N.B. E' importante copiare i tools di rimozione su un cd o dvd e non su una chiavetta usb, che potrebbe infettarsi e diventare mezzo di propagazione del virus.

Accertatevi quindi che sulla vostra Pen-Drive non sia presente alcun file AUTORUN.INF, per farlo basta abilitare la visualizzazione dei files nascosti e di sistema.

Spero di esservi stato d'aiuto.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

moz — Mon, 12 Jan 2009 19:35:12 GMT

Una volta modificate le permission sulla chiave srvchost (punto 13)non si riesce più ad eseguire WindowsUpdate (punto 34)....cosa si fa?

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

linuxmc — Tue, 13 Jan 2009 19:51:42 GMT

Ragazzi, scusatemi. Vorrei capire una cosa....

qual'è la soluzione migliore per la rimozione del virus, e soprattutto impedire che i sistemi si reinfettino ??? Fare una scansione/rimozione con antivirus rimuove il virus ma non sempre le chiavi di registro e i processi. E' meglio utilizzare la procedura manuale, in modo da proteggere anche le modifiche alle chiavi ? grazie a tutti

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Tue, 13 Jan 2009 20:09:14 GMT

Ciao moz,

per poter eseguire Windows Update devi verificare che il servizio sia abilitato. Fai un confronto dello stato dei servizi tra il client che presenta il problema con uno pulito.

Ciao linuxmc,

inizia con hotfix MS 08-067

Assicurati che l'antivirus sia aggiornato e in grado di riconoscere il virus

Per quanto riguarda la diffusione interna, conviene disattivare il servizio server e schedule come indicato nello script.

I server conviene pulirli manualmente, mentre per i client lo script funziona correttamente ed è distribuibile velocemente.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Francesco — Wed, 14 Jan 2009 02:55:47 GMT

Vi segnalo che Microsoft ha rilasciato un aggiornamento del Tool MSRT

http://www.microsoft.com/security/malwareremove/default.mspx

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 14 Jan 2009 10:07:24 GMT

Ciao Francesco,

ho aggiornato il post includendo il link.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Michele — Wed, 14 Jan 2009 13:03:31 GMT

Ho rimosso il virus su 4 server manualmente, ma trovo ancora errori nel registro eventi del server di dominio primario del tipo: ORIGINE: SAM ID EVENTO: 12294

Descrizioine:

Il database SAM non è stato in grago di escudere l'account administrator a causa di un errore di risorsa.... ecc. ecc.

come administrator mi loggo solo nei server e i server ora nn sono più infetti, quindi perche mi compare ancora questo errore; inoltre da quando ho beccato il virus ho errori di replica in AD tra i due server

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 14 Jan 2009 13:35:26 GMT

Ciao Michele,

L’errore SAM in genere è loggato quando c’è un tentativo di lock su un account ma questo non può essere locked out, come nel caso degli amministratori.

In pratica il processo rileva dei tentativi di logon errati e cerca di bloccare l’account, ma questo non può essere locked quindi l’errore SAM.

Verifica questo articolo per maggiori informazioni:

KB 887433

User accounts are unexpectedly locked, and event ID 12294 is logged in Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;EN-US;887433

Molto probabilmente hai ancora l'infezione presente su qualche server o client con amministratore loggato.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Michele — Wed, 14 Jan 2009 14:01:14 GMT

solo nei server mi loggo come administrator; ho cambiato la password, rinominato administrator in admin, rimosso il virus come scritto sopra, ho usato nei 4 server anche l'utility della fsecure per rimuovere il virus e mi dice che non c'è più...

non so più che fare, ho anche un caso microsoft aperto ma non mi danno risposta.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 14 Jan 2009 14:40:45 GMT

Ciao Michele,

se hai un case aperto, puoi contattarci tramite il numero di supporto tecnico: 02 70398 398

oppure scriverci con il numero di referimento della SR tramite questa pagina:

http://blogs.technet.com/itasupport/contact.aspx

Grazie e Buona giornata

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Wed, 14 Jan 2009 17:01:33 GMT

Ciao,

ma la nuova fix:

http://www.microsoft.com/security/malwareremove/default.mspx

funziona? Io l'ho fatto girare su un PC e non mi trovava nulla. Ma dopo un po' l'alert Trend WORM_DOWNAD.AD e' riapparso..:-((

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 14 Jan 2009 17:14:00 GMT

Ciao grenzo,

il tool funziona se la macchina è infetta ed è in grado di rimuoverlo.

Come hai indicato tu, Trend ha riconosciuto il virus perchè un altro PC infetto è riuscito a collegarsi tramite admin$ e copiare il virus nella cartella di sistema.

Ti consiglio di schedulare una scansione completa dei PC presenti nella rete con il Microsoft Malicious Software Removal Tool in modo da essere sicuro che non ci siano macchine infette.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Mark — Wed, 14 Jan 2009 17:35:00 GMT

io se faccio girare l'MSRT su una macchina infetta dal Win32/Conficker.B non mi rileva l'infezione ma mi identifica come file infetti i 222 file contenuti nei DAT di Symantec Antivirus (che poi in realtà non sono infetti...)

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 14 Jan 2009 17:54:10 GMT

Ciao Mark,

Grazie per la segnalazione.

Eseguo un po' di verifiche interne e ti aggiorno il prima possibile.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 14 Jan 2009 18:05:34 GMT

Ciao Mark,

Ho girato il tuo commento al team che sviluppa il programma.

Sarebbero interessati a contattarti.

Puoi scriverci tramite questa pagina:

http://blogs.technet.com/itasupport/contact.aspx

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Manuel — Wed, 14 Jan 2009 18:22:13 GMT

Si vi serve è uscito anche il tool aggiornato di rimozione by Symantec (già testato e funzionante)

http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

linuxmc — Thu, 15 Jan 2009 01:20:04 GMT

Grazie per i consigli... io però ho provato la rimozione con il tool di rimozione malware aggiornato di Microsoft. Effettivamente rileva l'infezione e la elimina.... Poi rimuovo i task creati dalle operazioni pianificare e riavvio il server... e dopo alcuni minuti... mi ritrovo At1, At2, At3, etc.... e il server è patchato ad oggi !!!!

Che si fa ?

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 15 Jan 2009 12:32:40 GMT

Ciao linuxmc,

se trovi i server infetti solo dopo pochi minuti dopo la pulizia, vuol dire che c'è un altro server o un client con utente domain admin loggato che è infetto e propaga l'infezione agli altri.

Ti consiglio di verificare che AV sia in grado di riconoscere e pulire il virus in modo da limitare la reinfezione: questo punto è fondamentale.

Cambia le password dei Domain Admin e Local Admin, verifica che siano complesse e riduci al minimo gli utenti domain admin loggati sui server o client se non sei sicuro che siano puliti.

Per limitare la reinfezione, ti consiglio di disattivare il servizio Task Schedule o in altenativa rimuovere temporaneamente la share admin$

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

linuxmc — Thu, 15 Jan 2009 14:09:57 GMT

Grazie mille... provo immediatamente.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Thu, 15 Jan 2009 20:10:31 GMT

Rimossa la ADMIN$ ma l' Antivirus ( Trend ) mi trova TROJ_DONADJOB.A in C:\Windows\Tasks\At1.job, cos'e' una variante? e visto che non ho la ADMIN$ significa che il virus e' residente?

Ah ho passato tutti i tools, Microsoft, Symantec ecc.. ma non ho visto nessun effetto.... :-(

ciao

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 15 Jan 2009 20:21:14 GMT

Ciao grenzo,

rimuovere l'Admin$ permette di limitare l'infezione interna tra i vari computer.

Al punto 2 è consigliato disabilitare il servizio "Task Schedule" in modo che l'altro metodo di infezione ovvero quello tramite "AT*.job" non potrà attivarsi.

Infatti al punto 31 è indicato di rimuovere tutti i job schedulati.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Stefano — Thu, 15 Jan 2009 23:07:06 GMT

TROJ_DONADJOB.A non è nientaltro che il file AT*.job che il virus downad.ad crea. Infatti da ieri i pattern Trend rilevano e cancellano anche i job AT schedulati dal virus, quindi (almeno per chi ha Trend installato e aggiornato sulle macchine) fermare il servizio Task shedule non è più così essenziale.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

linuxmc — Thu, 15 Jan 2009 23:17:52 GMT

Vi confermo che, almeno nel mio caso, dopo aver rimosso i task AT*.job, disabilitato le Admin share e effettuato la scansione con il Malware Removal Tool di Microsoft, l'infezione non si ripresenta più, pur essendo il server su cui ho fatto la prova collegato in una rete con almeno 40 tra client e server ancora infetti....... grazie mille ancora

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

10nico — Fri, 16 Jan 2009 11:39:27 GMT

Ciao a tutti, grazie per tutti i consigli/script/contributi che mi hanno aiutato ad iniziare (sigh) la riscossa contro questo fetentissimo rootkit.

Tuttavia ho ancora un problema (limitato ad alcuni pc per fortuna) e cioè non riesco più a visualizzare i file nascosti nemmeno se abilito le opportune opzioni e/o se imposto la chiave di registro a mano.

In sostanza se flaggo "visualizza i file nascosti" e deselezione "nascondi i file protetti e di sistema", clicco applica, applica a tutte le cartelle, esco e rientro nelle proprietà e le opzioni sono tornate come prima.

C'è qualcuno che sa come fare?

Grazie a chiunque risponderà!

10nico

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Fri, 16 Jan 2009 11:57:39 GMT

Ciao 10nico,

Ti consiglio di confrontare i permessi sulla chiave di registry utilizzata per modificare la visualizzazione dei file.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Un altro consiglio è di verificare i valori impostati su un client che non presenta il problema.

Infine puoi utilizzare il Process Monitor per vedere le chiavi che sono modificate nel momento in cui attivi o disattivi l'opzione di visualizzazione dei file nascosti:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

10nico — Fri, 16 Jan 2009 13:50:07 GMT

Problema risolto, il rootkit aveva impostato il valore "CheckedValue" a 0 anzichè a 1 come dovrebbe, sicchè quando si flaggava "Visualizza file nascosti" veniva settato a 0 (valore non valido) e il sistema si autoreimpostava a 2 (non visualizza i file nascosti).

Ho rimesso il CheckedValue a 1 e ho flaggato "Visualizza file nascosti" ed è tornato tutto a posto.

I permessi delle chiavi erano normali.

Immagino (spero!) che visto che è rimasto a posto non ci fossero processi fetenti che mi cambiavano la chiave.

Grazie a tutti e Buona Giornata :-)

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Giuliano — Thu, 22 Jan 2009 12:05:09 GMT

Si vi serve è uscito anche il tool aggiornato di rimozione by Symantec (già testato e funzionante)

http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

Ciao,

abbiamo provato la fix; non ha trovato nulla, in compenso ora il .NET 2.0 mi da questo errore: .NET 2.0 runtime error Access denied

Qualche idea?

Grazie,

ciao.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

grenzo — Mon, 26 Jan 2009 18:48:51 GMT

Ancora WORM_DOWNAD.AD..

Ciao nella mia LAN gira ancora il Worm, oggi ho installato un nuovo Server Member 2003 ed alcuni istanti dopo aver installato l'antivirus TREND mi sono apparse 18 segnalazioni!! Ho guardato nell' Event Viewer ma non c'e nessun Failure Audit. Come posso sapere da *dove* e' avvenuto l'attacco?

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Mon, 26 Jan 2009 19:04:59 GMT

Ciao grenzo,

come riportavo nei commenti del 7 Gennaio, risulta complesso capire l'utente con cui prova ad accedere al server in quanto è un attacco di tipo forza bruta.

E' più semplice capire il server di origine dell'attacco utilizzando il tool di TCP View che trovi a questo indirizzo:

http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

Inoltre puoi utilizzare anche il comando NETSTAT -ONA per visualizzare le statistiche sulle connessioni attive.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Anna — Tue, 27 Jan 2009 12:47:24 GMT

Possibile che questo virus non si propaghi tramite la rete?

l'ho scovato su 2 pc con installato kaspersky i sintomi (alcuni siti bloccati,aggiornamenti antivirus impossibili ecc...) mentre altri pc con panda non hanno avuto nulla facendo scambio di file con una chiavetta panda ha individuato subito conficker.... grande panda :)

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Tue, 27 Jan 2009 13:08:59 GMT

Ciao Anna,

il virus utilizza la vulnerabilità di Internet Explorer MS08-067 per diffondersi. Se la vulnerabilità è già stata chiusa, prova con Admin$ degli altri PC presenti in rete.

Un altro metodo di infezione è costituito da un file Autorun.inf infetto che contiene il virus e che può infettare anche altri PC "senza rete".

Questi sono i metodi utilizzati per infettare i computer al momento.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Massy — Thu, 05 Feb 2009 15:54:12 GMT

salve,

scusate, sono nuovo al tema:

como posso rendermi conto se i l mio pc e' "infetto"?

e' sufficiente una scansione dell;antivirus per

escludere al 100% l'"infezione" ?

dovrei pure controllare altre cose..? tipo task manager ecc.

..scusate l'ignoranza..

saluti

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Massy — Thu, 05 Feb 2009 16:00:35 GMT

ovviamentemi riferivo a Conficker..

volevo solo sapere se esiste una procedura di

controllo che garantisca al 100% di non aver "contratto il conficker"

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 05 Feb 2009 16:00:46 GMT

Ciao Massy,

per quanto riguarda il Conficker.B puoi utilizzare i tool descritti nella sezione "Rimozione automatica (consigliata)".

In particolare un metodo veloce per essere sicuro che il computer non sia infetto è quello di utilizzare il Microsoft Malicious Software Removal Tool che trovi a questo indirizzo:

http://www.microsoft.com/security/malwareremove/default.mspx

Infine, è importante avere un antivirus aggiornato e le ultime patch di sicurezza rilasciate per il sistema operativo in modo da non essere esposto a reinfezioni future come descritto nella sezione "Prevenire la reinfezione".

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Massy — Thu, 05 Feb 2009 16:05:54 GMT

grazie per la risposta!

provero' cosi'!

ma posso utilizzare il Microsoft Malicious Software Removal Tool anche se ho gia' installato un altro antivirus?

sapevo che piu' antivirus allo stesso tempo comportassero problemi al sistema..

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 05 Feb 2009 19:19:12 GMT

Ciao Massy,

è possibile eseguire il Microsoft Malicious Software Removal Tool su un computer che ha installato l'antivirus in quanto è un programma standalone che non rimane attivo al termine dell'esecuzione.

Questo tipo di scansione è eseguita automaticamente ogni mese durante l'aggiornamento del sistema tramite Windows Update.

Un altra soluzione può essere quella di utilizzare la scansione gratuita online di Windows Live OneCare Safety scanner disponibile al seguente indirizzo:

http://onecare.live.com/site/it-it/default.htm

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Paolo — Tue, 17 Feb 2009 18:27:53 GMT

Siamo sotto attacco da circa 6 giorni da questo malefico worm. La nostra azienda (ospedale) è dotata di circa 800 clients e 60 server windows (2000 / 2003 / 2008). Prendiamo atto che la propagazione sia avvenuta mediante il bug di windows non patchato (nostra colpa!), ma ora stiamo provando ad uscirne ... con tanta difficoltà, soprattutto nel tentativo di non interrompere il servizio ai pazienti.

Domanda: se i server vengono "puliti" mediante tool di rimozione, patch microsoft (KB958644) e tutto questo fuori rete, è plausibile pensare che al riavvio dei sistemi i client infetti non possano + trasmettere il worm ai server? Se così non fosse, diventerebbe un grandissimo problema dover pulire contestualmente 800 macchine client + 60 server...

Grazie!

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 18 Feb 2009 10:35:57 GMT

Ciao Paolo,

I metodi di reinfezione dopo l'aggiornamento di sicurezza è descritto a questo indirizzo (sezione "Analysis"):

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

Come vedi una volta chiusa la vulnerabilità, il virus proverà ad accedere con le credenziali dell'utente loggato prima e con attacchi forza bruta poi, alla share Admin$ di tutti i computer identificati in rete.

Se l'attacco va a buon fine, sarà ricreata la DLL del virus nella cartella C:\Windows\System32

Per questo è fondamentale che tutti i server già puliti abbiano l'antivirus aggiornato con ultima definizione e motore di scansione realtime in grado di rilevare il Conficker e rimuoverlo.

Questo permette di bloccare la reinfezione delle macchine già pulite.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Massy — Thu, 19 Feb 2009 14:15:43 GMT

salve,

leggendo che Windoes LiveOne Care Safety Scanner deve

essere installato prima di metterlo in esecuzione mi chiedevo:

questo non e' standalone?

il fatto e' che ho gia' il norton installato, e l'ultima volta che

ho installato un "secondo" antivirus (dopo avere gia' il norton)

il pc e' andato in crash... e ho dovuto formattare.

posso dunque installare tranquillamente questo

Windoes LiveOne Care Safety Scanner ...? o lascio perdere ?

grazie in anticipo

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Thu, 19 Feb 2009 19:46:23 GMT

Ciao Massy,

Windows LiveOne Care Safety Scanner è un tool online che utilizza un ActiveX per eseguire la scansione nel computer.

Quindi non installa nessun componente residente che può andare in conflitto con i programmi antivirus già installato sulla macchina.

Considera che se hai già il Norton Antivirus installato, ti consiglio di aggiornarlo e di eseguire una scansione approfondita del computer.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

giovanni — Mon, 20 Apr 2009 13:40:23 GMT

buon giorno,

dopo aver rimosso conficker con il tool di rimozione di Ms, ho notato che non e' possivile visualizzare i file nascosti.

Penso allora che il tool di rimozione non abbia riportato Wxp allo stato originale, e quali altre situazioni il verme abbia modificato.

Come posso procedere?

grazie

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Mon, 20 Apr 2009 13:51:09 GMT

Ciao Giovanni,

Il virus va a modificare molte chiavi di registry e quindi non ci è possibile a priori sapere come ripristinare il Sistema Operativo.

Per il problema specifico, puoi risolvere in questo modo.

1) Pulsante Start --> Esegui --> REGEDIT

2) Spostati nella seguente chiave HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced

3) Nel pannello di destra, fai doppio click sulla chiave "Hidden" e imposta il valore a "1" per visualizzare i file nascosti.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Lucas — Wed, 22 Apr 2009 11:38:01 GMT

Buongiorno a tutti,

Ho appena finito di leggere tutti i posts sopra presenti.

Mi chiedo una cosa: come si ferma il Task Schedule? Ma, soprattutto: fermandolo blocco ovviamente tutti quei processi che il PC avvia in automatico?

Grazie mille.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 22 Apr 2009 12:13:59 GMT

Ciao Lucas,

il Task Schedule lo puoi bloccare da "Pannello di Controllo" --> "Servizi" --> "Task Scheduler"

I task bloccati sono solo quelli che trovi nella cartella C:\Windows\Tasks

Il sistema operativo continuerà a funzionare correttamente.

Considera che ormai quasi tutti gli antivirus aggiornati sono in grado di rilevare correttamente la presenza del virus anche nella cartella Tasks.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Lucas — Wed, 22 Apr 2009 13:07:28 GMT

Grazie per la celere risposta!

Ok, grazie. Immagino si riavvii da solo una volta riavviato il PC perciò ho messo questo scriptino nelle policy del dominio:

net share admin$ /delete

net stop schedule

del %windir%\Tasks\at*.job

Spero di aver fatto correttamente la procedure di inserimento dello script nel dominio (vorrei che quello script fosse eseguito da tutti i PC che fanno accesso al dominio).

Spero anche quindi di marginare la diffusione di questo worm che ha infattato la LAN (25 clients e 3-4 servers).

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 22 Apr 2009 13:37:37 GMT

Ciao Lucas,

è corretto mettere quello script come policy di "startup" in modo che sia eseguito all'accensione del computer e non al "logon" ovvero quando poi l'utente accede alla macchina.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Massimiliano — Wed, 06 May 2009 18:43:58 GMT

Purtroppo nella mia azienda abbia preso il conficker e adesso stiamo procedendo a ripulire tutte le macchine.

Stiamo utilizzando prima Gmer per cancellare il servizio, poi installiamo il Aggiornamento di sicurezza MS08-067, facciamo girare Microsoft Malicious ed installiamo il nostro antivirus(adesso aggiornato) che riesce a pulire la macchina ...

Purtroppo su alcuni personal computer non riusciamo a far partire l'aggiornamento di sicurezza e nemmeno Malicious pur avendolo pulito con l'antivirus ...

Come posso risolvere il problema ?

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 06 May 2009 19:12:24 GMT

Ciao Massimiliano,

verifica quale tipo di errore ti è restituire durante l'installazione dell'aggiornamento.

Nei computer dove hai il problema, prova a loggarti con le credenziali di Admin locale, rinomina il nome del file del MSRT per escludere che sia la variante D ovvero in grado di rilevare e arrestare i processi contenenti il nome della KB.

Se riesci a navigare in internet, prova a collegarti sul sito:

http://onecare.live.com/site/it-it/default.htm

ed esegui una scansione online del computer.

Esistono anche tool standalone che permettono di rimuovere correttamente il virus prodotti dai principali antivirus.

Verifica inoltre di aver riavviato il client dopo la pulizia con GMER in modo da scaricare dalla memoria la DLL contenente il virus (possibilmente tenendo il client scollegato dalla rete per evitare reinfezioni).

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Carbone — Sun, 17 May 2009 20:47:00 GMT

Ciao,

ho un problema con WindowsLiveMess, ho confermato l'apertura di un messaggio che faceva riferimento ad una foto, ed eccomi accontentato si è infettato il PC ha iniziato a mandare messaggi con link a foto ovviamente inesistenti, ho avvisato i miei amici di non aprire ed ho iniziato la battaglia provati i vari sistemi scaricati dalla rete, fatto scan con vari antivirus alla fine ho disinstallato il Messanger ed utilzzato MSN via web ancora partono messaggi.

Cosa posso fare non vorrei formattare

PS il SO Vista

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Wed, 20 May 2009 09:48:45 GMT

Ciao Carbone,

il tipo di comportamento che hai riportato non riguarda Conficker.B o una sua variante.

Ti consiglio di eseguire una scansione online del tuo computer tramite questo sito web:

Windows Live OneCare Safety scanner

http://onecare.live.com/site/it-it/default.htm

e di affidarti ad un antivirus robusto come OneCare o ForeFront.

Grazie e Buona giornata.

re: Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Dexter — Fri, 02 Oct 2009 16:17:51 GMT

@Carbone cambiare password di accesso al messenger??? Molto probabilmente cliccando sulla link della foto sarai stato dirottato su un sito fake che chiedeva login di hotmail. Ora un bot starà usando le tue credenziali per infettare i tuoi contatti nello stesso modo. Non risolvi disinstallando msn dal tuo pc, ma modificando la password.