Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.D

itentblg — Fri, 20 Mar 2009 02:00:00 GMT

[Ultimo aggiornamento: 31 Marzo 2009 - 09:57]

E’ stato identificata una nuova versione del virus Conficker: la variante D.
Nel precedente post Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B è spiegato passo passo come prevenire l’infezione dei client.

Questa nuova variante del virus è in grado di difendersi dai principali tool di rilevamento e rimozione come spiegato nella sezione “Analysis” del Microsoft Malware Protection Center

Feliciano ha pubblicato una pagina in cui raccogliere le informazioni presenti nei vari siti Microsoft.

Prevenzione

Come sappiamo, prevenire è meglio che curare, e con questa particolare variante è, se possibile, ancora più importante!

Vediamo i punti principali per cercare di limitare i danni ed evitare che la rete aziendale sia attaccabile:

Installare l’aggiornamento di sicurezza MS08-067 su tutti i client e server della rete
Aggiornare l’antivirus sia come virus pattern sia come motore di scansione
Utilizzare delle password complesse per amministratori locali e di dominio
Enforcing Strong Password Usage Throughout Your Organization
Verificare che l'autorun non sia attivo
How to correct "disable Autorun registry key" enforcement in Windows

Una lista più dettagliata è disponibile sul sito nella sezione “Prevention” del Microsoft Malware Protection Center

Verificare lo stato dei computer

E’ di fondamentale importanza che tutti i server e client presenti nella rete locale siano aggiornati e rispettino quanto elencato nella sezione “Prevenzione”.
Basta che un solo client di una sede remota non sia aggiornato e questo potrà scatenare tutti i problemi indicati nella sezione “Analisi dell’infezione”.

Per quanto riguarda lo stato di aggiornamento del software antivirus nei vari computer è da concordare in collaborazione con la casa produttrice del programma.
In molti casi è presente un server di gestione centralizzato o in caso di reti di piccole dimensioni, si può procedere manualmente alla verifica dei singoli server.

Per quanto riguarda l’aggiornamento MS08-067 si può utilizzare un server WSUS oppure tramite un server SMS o SCCM: la console di gestione presenta la situazione aggiornata di tutti i computer della rete.
In caso non sia presente un server centralizzato per la gestione degli aggiornamenti, si può verificare la presenta della cartella %windir%\$NtUninstallKB958644$

Potete anche eseguire il Microsoft Malicious Software Removal Tool su una macchina infetta come tool standalone per provare a rimuovere l'infezione o nel caso sia accessibile il sito Windows Live OneCare Safety Scanner ed eseguire una scansione online del server.

Rimozione del virus

La rimozione automatica con l’antivirus installato nella computer è la prima scelta da eseguire in quanto normalmente è in grado di rimuovere il virus correttamente.

I programmi specifici in grado di rimuovere il Conficker possono presentare problemi con questa variante in quanto è stata aggiunta una routine del virus che verifica ogni secondo il nome del processo e lo termina: vedi la sezione “Analisi dell’infezione” per maggiori informazioni.

Il seguente articolo spiega come distribuire il Microsoft Windows Malicious Software Removal Tool tramite script all’interno dell’azienda:

KB 891716 - Deployment of the Microsoft Windows Malicious Software Removal Tool in an enterprise environment

La rimozione manuale è possibile, anche se non consigliata, ed è illustrata nel seguente articolo:

KB 962007 - Virus alert about the Win32/Conficker.B worm

Analisi dell’infezione

Tra i principali problemi che il virus causa abbiamo:

Blocco dei servizi di sicurezza: Windows Security Center Service (wscsvc), Windows Update Auto Update Service (wuauserv), Background Intelligence Transfer Service (BITS), Windows Defender (WinDefend), Error Reporting Service (ersvc) e Windows Error Reporting Service (wersvc)
Cancellazione delle chiavi del registro di Windows Defender, Windows Security Center (WSC) e la lista dei servizi della modalità provvisoria
Blocco dell’accesso ai principali siti internet dei produttori di software antivirus e aggiornamento tramite un hook alla libreria DNSAPI.DLL
Download di file a partire dal 1° Aprile 2009 da 8 portali web di 100 nazioni tramite 500 indirizzi scelti random da 50’000. Dopo aver eseguito un download corretto, rimane in sospeso per i successivi 4 giorni in caso contrario, il giorno successivo proverà con altri 500 indirizzi.
Termine dei processi che contengono i nomi dei principali software di pulizia e aggiornamento del Conficker eseguito ogni secondo.

Il consiglio per evitare che il virus arresti l’esecuzione del processo è rinominare il file eseguibile se possibile, in modo da eludere il controllo via stringa.

Per la lista completa dei siti internet utilizzati e i nomi dei processi, fate riferimento alla sezione “Analysis” del Microsoft Malware Protection Center

Domande Frequenti

D: Cosa succederà il 1 April 2009?
R: In base alle analisi tecniche, abbiamo determinato che i sistemi infetti con l'ultima versione del Conficker inizieranno ad utilizzare un nuovo algoritmo per determinare quali domini internet contattare. Non abbiamo identificato altre azioni previste che saranno attivare il 1° Aprile 2009.

D: Sarà rilasciata una nuova versione aggiornata del Conficker ai sistemi già infettati il 1° Aprile 2009?
R: E' possibile che i sistemi infetti con l'ultima versione del Conficker saranno aggiornati con una nuova variante il 1° Aprile 2009 contattando dei siti internet ottenuti da una nuova lista di domini. Comunque, questi sistemi potrebbero aggiornarsi prima o dopo il 1° Aprile 2009 così come tramite il canale di aggiornamento "peer-to-peer" presente nell'ultima versione del Conficker.

D: Gli utenti finali si devono allarmare?
R: No, gli utenti finali non devono allarmarsi. La maggior parte dei sistemi operativi è già protetto da Ottobre 2008 quando Microsoft ha rilasciato l'aggiornamento di sicurezza MS08-067 che è installato automaticamente tramite Windows Update.

Timeline delle varianti del Conficker

Disponibile nel blog del Microsoft Malware Protection Center

Supporto Microsoft

In caso abbiate bisogno di ulteriore aiuto, sono disponibili i siti Microsoft per la sicurezza:

Utenti privati = Guida alla sicurezza e supporto tecnico per utenti privati
Professionisti IT = Guida alla sicurezza e supporto tecnico per professionisti IT

Come per il precedente articolo, continuerò ad aggiornare il post in caso di novità riguardo a questo virus.

Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platform Support

Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

itentblg — Mon, 05 Jan 2009 15:00:00 GMT

[Ultimo aggiornamento 20 Mar 2009 - 17:35]

Maggiori informazioni riguardo la nuova variante Conficker.D sono disponibili in questo post:
Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.D

In questo periodo abbiamo identificato una nuova variante del virus Conficker.
Il virus inizialmente attacca i sistemi che non hanno installato l’aggiornamento di sicurezza MS08-067 e, una volta infettato il sistema, proverà a diffondersi utilizzando degli attacchi di tipo “brute force”.
Questo tipo di attacco cercherà di crackare le password degli altri sistemi e, una volta entrato, lo infetterà.
E' fondamentale non loggarsi con utenze di amministrazione di Dominio in quanto il virus riesce ad impersonare l'utente loggato ed utilizzare le sue credenziali per infettare gli altri computer presenti in rete.

Per maggiori informazioni riguardo alla vulnerabilità e al bollettino correttivo MS08-067, fate riferimento al post di Feliciano Intini.

Di seguito vediamo i sintomi e i principali metodi per mitigare il diffondersi dell'infezione.

Sintomi

I principali sintomi per determinare se si è infetti sono:

Molti / Tutti gli account utente e amministratore iniziano ad essere bloccati.
Per ottenere maggiori informazioni riguardo agli account bloccati è disponibile l'Account Lockout Tools.
Automatic Updates, Background Intelligent Transfer Service, Windows Defender e Error Reporting Server Services sono arrestati e disabilitati
Errori legati a SVCHOST
I Domain Controller sono lenti nelle rispondere ai client
Congestione della rete interna
Non è possibile accedere ai siti internet di Windows Update e dei principali software antivirus

Ad oggi, Microsoft e le altre società antivirus hanno identificato questo tipo di attacco malware come indicato al sito Microsoft Malware Protection Center.
Verificate le informazioni presenti nel link indicato sopra per poter analizzare il modo utilizzato nella diffusione dell'infezione.
Inoltre è possibile che il sistema sia infettato da una diversa variante del virus: verificate sempre al sito Microsoft Malware Protection Center

Rimozione automatica (consigliata)

Il modo migliore per rimuovere il virus è utilizzare l'Antivirus installato nel sistema in quanto riduce i tempi di scansione e permette di limitare le reinfezioni.

In caso non sia rilevabile, si può utilizzare il tool standalone Microsoft Malicious Software Removal Tool disponibile gratuitamente ed entrambi in grado di rilevare e rimuovere il virus e le sue varianti.

Un articolo spiega come distribuire il Microsoft Malicious Software Removal Tool all'interno di una rete aziendale.

Un altro tool in grado di rilevare e rimuovere l'infezione è Standalone System Sweeper che è parte del Microsoft Dekstop Optimization Pack 6.0

Infine, entrambe le versione di Windows Live OneCare e Forefront Client Security

Rimozione manuale (in caso di varianti)

E' disponibile un articolo che spiega come procedere nella rimozione manuale del virus:
Virus alert about the Win32/Conficker.B worm

Prevenire la reinfezione

Verificare su tutti i client e server presenti in rete che i seguenti punti siano stati eseguiti

Antivirus aggiornato in grado di rilevare il virus Win32/Conficker.B
Aggiornamento di sicurezza MS08-067 installato su tutti i server e client
Utilizzo delle password complesse degli amministratori locali e di dominio
Enforcing Strong Password Usage Throughout Your Organization
Verificare che l'autorun non sia attivo
How to correct "disable Autorun registry key" enforcement in Windows
Verificare che non ci siano job anomali presenti nel Task Schedule
Verificare che tutte le ultime hotfix di sicurezza siano installate correttamente

Posterò aggiornamenti in caso di modifiche o novità riguardo a questo virus.

Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platforms Support

Supporto Tecnico Enterprise : Security