Gen0320093 Gennaio 200926 Marzo 20170Commentidi Ermanno Goletto

Conficker ovvero l’importanza d’installare le hotfix di sicurezza

Pubblicato in Security

In questi giorni si sta diffondendo Conficker nome in codice Worm:Win32/Conficker.A (Symantec lo identifica come W32.Downadup, F-Secure come Worm:W32/Downadup.AL e McAfee come W32/Conficker.worm) che sfrutta la falla di sicurezza corretta con il rilascio del bollettino MS08-067 (KB958644).

Come accade di solito dopo la pubblicazione di una hotfix si scatena la corsa alla realizzazione di malware che frutta la falla di sicurezza, diventa quindi importate pianificare l’applicazione degli aggiornamenti dopo averli testati in modo rapido. In questo caso va comunque detto che l’hotfix è stata rilasciata il 23 ottobre 2008 quindi più di due mesi fa a riguardo si veda Segnalazioni del worm Win32/Conficker.A: verificate di aver installato la patch MS08-067.

Il malware inserisce file in %Windir%\System32 e ne cambia il timestamp per renderlo uguale a quello del file kernel32.dll, crea un serviso e disabilita i servizi BITS e wuauserv, prova a diffondersi tramite le share e i dispositivi USB e blocca l’accesso a determinati siti. Questi sono alcuni degli effetti ma va ricordato che di solito sul codice base del virus vengono poi inestate varianti per renderlo più aggressivo e/o pià difficilmente debellabile.

Al seguente è disponibile una descrizione Conficker si diffonde nelle aziende.

Ovviamente occorre installare tempestivamente l’hotfix di sicurezza e  vale sempre anche il consiglio di evitare di utilizzare i privilegi di Amministratore locale durante la sessione di lavoro.

In caso si debba debellare l’infezione il mio consigio è quello di attrezzarsi se non lo si ha già d un Antivirus che riconosca e rimuova il malware (ForeFront, Symantec, McAfee tanto per fare alcuni nomi o anche Microsoft online scanner) e di disconnettere dalla rete il computer o di mettererlo su una rete separata per evitare che altri computer continuino ad infettarlo durate la fase di rimozione e che lui continui a propagare il malware nella rete, quindi riavviare in modalità provvisoria ed eseguire una scansione completa.

Per limitare l’infezione risulta opportuno anche disabilitare l’autoplay sui dispositivi USB a riguardo si veda Disabilitazione Autoplay.

La brutta notizia è che sta cominciando a diffondersi una seconda variante del worm il Win32/Conficker.B.

Di seguito alcuni link utili:

Nei forum di Sysadmin.it è stato aperto un tread sul tema da cui attingere e riversare utili informazioni ed esperienze Account che si autobloccano sistematicamente.

[UPDATE 01]

Dal blog del Supporto Tecnico Enterprise Microsoft un post con maggiori indicazioni e un metodo per rimuovere il virus: Sicurezza – Aggiornamento riguardo al Worm Win32/Conficker.B

[UPDATE 02]

F-Secure ha pubblicato un tool di rimozione automatica scaricabile al seguente link:
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

Va detto che è un tool in beta e senza supporto, ma può essere utile nel caso si debba gestire numerosi computer infetti.

[UPDATE 03]

Alcuni consigli nati da esperienze sul campo:

  1. Per vedere se l’hotfix è installata è possibile utilizzare il comando: wmic qfe | find “958644”.
  2. Il modo più veloce per rimuovere il virus è quello di istallare l’hotfix e quindi fare una scansione con il Malicious Software Removal Tool, quindi asicurararsi che il servizio Aggiornamenti automatici (wuaserv) e Servizio trasferimento intelligente in background (BITS) non siano disabilitati per impostarli al loro valore di default è possibile usare i comandi (attenzione allo spazio dopo start=):
    sc config wuaserv start= automatic
    sc config bits start= demand
[UPDATE 04]

Nella KB Microsoft è stato pubblicato un articolo con la procedura di rimozione disponibile al seguente Virus alert about the Win32/Conficker.B worm.

Per una descrizione del Malicious Software Removal Tool si veda il seguente The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows Vista, Windows Server 2003, Windows Server 2008, Windows XP, or Windows 2000.

[UPDATE 05]

Un interessante articolo su come utilizzare le Group Policy per difendersi da Conficker Using Group Policy to Negate Conflicker on Windows.

[UPDATE 06]

Per una guida esaustiva sulla rimozione e la prevenzione del malware si veda il post Windows Malware Removal and Prevention.