Freigeben über

Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

  • Artikel

[Ultimo aggiornamento 20 Mar 2009 - 17:35] 

Maggiori informazioni riguardo la nuova variante Conficker.D sono disponibili in questo post:
Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.D

In questo periodo abbiamo identificato una nuova variante del virus Conficker.
Il virus inizialmente attacca i sistemi che non hanno installato l’aggiornamento di sicurezza MS08-067 e, una volta infettato il sistema, proverà a diffondersi utilizzando degli attacchi di tipo “brute force”.
Questo tipo di attacco cercherà di crackare le password degli altri sistemi e, una volta entrato, lo infetterà.
E' fondamentale non loggarsi con utenze di amministrazione di Dominio in quanto il virus riesce ad impersonare l'utente loggato ed utilizzare le sue credenziali per infettare gli altri computer presenti in rete.

Per maggiori informazioni riguardo alla vulnerabilità e al bollettino correttivo MS08-067, fate riferimento al post di Feliciano Intini.

Di seguito vediamo i sintomi e i principali metodi per mitigare il diffondersi dell'infezione.

Sintomi

I principali sintomi per determinare se si è infetti sono:

  • Molti / Tutti gli account utente e amministratore iniziano ad essere bloccati.
    Per ottenere maggiori informazioni riguardo agli account bloccati è disponibile l'Account Lockout Tools.
  • Automatic Updates, Background Intelligent Transfer Service, Windows Defender e Error Reporting Server Services sono arrestati e disabilitati
  • Errori legati a SVCHOST
  • I Domain Controller sono lenti nelle rispondere ai client
  • Congestione della rete interna
  • Non è possibile accedere ai siti internet di Windows Update e dei principali software antivirus

Ad oggi, Microsoft e le altre società antivirus hanno identificato questo tipo di attacco malware come indicato al sito Microsoft Malware Protection Center.
Verificate le informazioni presenti nel link indicato sopra per poter analizzare il modo utilizzato nella diffusione dell'infezione.
Inoltre è possibile che il sistema sia infettato da una diversa variante del virus: verificate sempre al sito Microsoft Malware Protection Center

Rimozione automatica (consigliata)

Il modo migliore per rimuovere il virus è utilizzare l'Antivirus installato nel sistema in quanto riduce i tempi di scansione e permette di limitare le reinfezioni.

In caso non sia rilevabile, si può utilizzare il tool standalone Microsoft Malicious Software Removal Tooldisponibile gratuitamente ed entrambi in grado di rilevare e rimuovere il virus e le sue varianti.

Un articolo spiega come distribuire il Microsoft Malicious Software Removal Tool all'interno di una rete aziendale.

Un altro tool in grado di rilevare e rimuovere l'infezione è Standalone System Sweeper che è parte del Microsoft Dekstop Optimization Pack 6.0

Infine, entrambe le versione di Windows Live OneCare e Forefront Client Security

Rimozione manuale (in caso di varianti)

E' disponibile un articolo che spiega come procedere nella rimozione manuale del virus:
Virus alert about the Win32/Conficker.B worm

Prevenire la reinfezione

Verificare su tutti i client e server presenti in rete che i seguenti punti siano stati eseguiti

Posterò aggiornamenti in caso di modifiche o novità riguardo a questo virus.

Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platforms Support

Comments

  • Anonymous
    January 01, 2003
    Ciao grenzo, ho aggiornato la procedura di rimozione manuale che esclude l'utilizzo del GMER. I task sono riceati perchè un altro server infetto accede alla Admin$ dei PC da infettare e crea il task. Segui i punti descritti nel post per contenere l'infezione. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Massy, Windows LiveOne Care Safety Scanner è un tool online che utilizza un ActiveX per eseguire la scansione nel computer. Quindi non installa nessun componente residente che può andare in conflitto con i programmi antivirus già installato sulla macchina. Considera che se hai già il Norton Antivirus installato, ti consiglio di aggiornarlo e di eseguire una scansione approfondita del computer. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Francesco, ho aggiornato il post includendo il link. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, si i comandi indicati posso essere inseriti come Script di Logon (ovvero eseguiti in fase di logon degli utenti) oppure come Script di Startup (ovvero eseguiti in fase di accensione del computer). Per quanto riguarda le share disponibili puoi provare a lanciare il seguente comando: wmic share get caption,name,path oppure se WMI ha problemi, questo: net view %computername% /all Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Grazie mille... provo immediatamente.

  • Anonymous
    January 01, 2003
    Ciao grenzo, conviene fare entrambe le cose. Cancellare tutti i task che potrebbero essere infetti con il comando: del %windir%Tasks*.job e arrestare il servizio Task Scheduler: net stop schedule Infine puoi impostare il servizio in disable in modo che non si avvii automaicamente: sc config schedule start= disabled Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao linuxmc, se trovi i server infetti solo dopo pochi minuti dopo la pulizia, vuol dire che c'è un altro server o un client con utente domain admin loggato che è infetto e propaga l'infezione agli altri. Ti consiglio di verificare che AV sia in grado di riconoscere e pulire il virus in modo da limitare la reinfezione: questo punto è fondamentale. Cambia le password dei Domain Admin e Local Admin, verifica che siano complesse e riduci al minimo gli utenti domain admin loggati sui server o client se non sei sicuro che siano puliti. Per limitare la reinfezione, ti consiglio di disattivare il servizio Task Schedule o in altenativa rimuovere temporaneamente la share admin$ Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Francesco, sui Domain Controller puoi utilizzare solo utenza Amministrazione. Ed è per questo che per eseguire la pulizione è consigliabile disattivare il servizio Server per limitare la diffusione. In tutti gli altri server è invece consigliabile usare utente di amministrazione locale in quanto il virus anche utilizzando quelle credenziali non riuscirà ad accedere agli altri server. Per il cambio delle password, sarebbe altamente consigliato modificarle per amministratori locali e di dominio utilizzando password complesse. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Anna, il virus utilizza la vulnerabilità di Internet Explorer MS08-067 per diffondersi. Se la vulnerabilità è già stata chiusa, prova con Admin$ degli altri PC presenti in rete. Un altro metodo di infezione è costituito da un file Autorun.inf infetto che contiene il virus e che può infettare anche altri PC "senza rete". Questi sono i metodi utilizzati per infettare i computer al momento. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao orione, Riguardo a trendmicro, puoi trovare un po' di informazioni sui virus conosciuti a questo indirizzo: http://www.trendmicro.com/vinfo/ La variante del Conficker per TrendMicro è chiamata "Downad.AD" rilevata il 30 Dicembre: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD Per quanto riguarda Symantec, abbiamo queste infezioni: http://www.symantec.com/norton/security_response/threatexplorer/threats.jsp Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Massimiliano, verifica quale tipo di errore ti è restituire durante l'installazione dell'aggiornamento. Nei computer dove hai il problema, prova a loggarti con le credenziali di Admin locale, rinomina il nome del file del MSRT per escludere che sia la variante D ovvero in grado di rilevare e arrestare i processi contenenti il nome della KB. Se riesci a navigare in internet, prova a collegarti sul sito: http://onecare.live.com/site/it-it/default.htm ed esegui una scansione online del computer. Esistono anche tool standalone che permettono di rimuovere correttamente il virus prodotti dai principali antivirus. Verifica inoltre di aver riavviato il client dopo la pulizia con GMER in modo da scaricare dalla memoria la DLL contenente il virus (possibilmente tenendo il client scollegato dalla rete per evitare reinfezioni). Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Livio e grenzo, purtroppo non esiste un modo automatico per verificare che l'infezione sia presente. Un indizio può essere la presenza dei file AT*.JOB nella cartella %windir%Tasks ma non implica che il server sia effettivamente infettato. In caso di blocco del servizio Server, il tool TCP View può aiutare ad individuare la fonte dell'infezione. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Michele, L’errore SAM in genere è loggato quando c’è un tentativo di lock su un account ma questo non può essere locked out, come nel caso degli amministratori. In pratica il processo rileva dei tentativi di logon errati e cerca di bloccare l’account, ma questo non può essere locked quindi l’errore SAM. Verifica questo articolo per maggiori informazioni: KB 887433 User accounts are unexpectedly locked, and event ID 12294 is logged in Windows Server 2003 http://support.microsoft.com/default.aspx?scid=kb;EN-US;887433 Molto probabilmente hai ancora l'infezione presente su qualche server o client con amministratore loggato. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, il tool funziona se la macchina è infetta ed è in grado di rimuoverlo. Come hai indicato tu, Trend ha riconosciuto il virus perchè un altro PC infetto è riuscito a collegarsi tramite admin$ e copiare il virus nella cartella di sistema. Ti consiglio di schedulare una scansione completa dei PC presenti nella rete con il Microsoft Malicious Software Removal Tool in modo da essere sicuro che non ci siano macchine infette. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, come riportato nel post, vedi aprire i file con il notepad e verificare che siano dei file TXT validi e non contengano link a programmi sconosciuti o siano loro stessi dei virus nascosti da "autorun.inf". Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Francesco, si come riportato nel post "Il malware impersona l’utente loggato interattivamente e accede alle risorse di rete usando queste credenziali." quindi è fondamentale sloggare tutti gli amministratori di dominio dai server e usare dove possibile utenti locali. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Grenzo, per quanto l'antivirus Trend non ti posso aiutare in quanto non è sviluppato da Microsoft. Quelli sviluppati direttamente da Microsoft sono Forefront (enterprise): http://www.microsoft.com/italy/server/forefront/default.mspx e OneCare (client): http://www.microsoft.com/italy/windows/onecare/default.mspx Per maggiori informazioni riguardo GMER, fai riferimento al sito ufficiale: http://www.gmer.net/faq.php Consiglio di abilitare il file di log come indicato nell'ultima domanda. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Francesco, il virus utilizza la vulnerabilità risolta dall'aggiornamento MS08-067 come primo tentativo per la diffusione. Se questa è risolta, prova con l'accesso alla share Admin$ degli altri computer presenti in rete cercando di forzare le password degli utenti. Quindi anche un solo computer infettato nella rete continuerà ad infettare gli altri. Il consiglio è quello di disabilitare il servizio Server durante la pulizia dei server e periodicamente controllare la presenza di job nel "Task Scheduler" con il nome AT*.job come indicato nel post. Utilizzando poi utenti locali con password sicure, si ridurranno i rischi di infezione interna da un computer ad un altro in quanto non riuscirà ad entrare sulla share Admin$ Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, solo se hai disattivato anche il servizio "Server" che gestisce l'accesso alle share di rete. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Franesco, grazie per aver condiviso lo script. Ovviamente come Microsoft non possiamo garantire il corretto funzionamento ed è da utilizzare "AS IS" senza alcuna garanzia come indicato nella sezione "Copyright". Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, Qui è spiegato come abilitare audit per logon/logoff http://technet.microsoft.com/en-us/library/cc736727.aspx#Enable_Logon_Failure_Auditing Per quanto riguarda Trend, devi sentire direttamente loro perchè non ho contatti diretti. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Grenzo, per creare uno script di Startup fai riferimento alla guida presente sul technet: Assign computer startup scripts http://technet.microsoft.com/en-us/library/cc779329.aspx Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, Il newsgroup Microsoft ufficiale in italianio che parla di sicurezza lo trovi qui: http://www.microsoft.com/italy/communities/newsgroups/default.mspx?dg=microsoft.public.it.sicurezza&lang=it&cr=IT&r=313b62a2-c5d6-47f7-8132-aa4a4c1001af Mentre il newgroup specifico in Inglese riguardo a Forefront lo trovi qui: http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.security.forefront&mid=54c9bd92-f844-44f9-b7e5-0f4f5fefef90 Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Carbone, il tipo di comportamento che hai riportato non riguarda Conficker.B o una sua variante. Ti consiglio di eseguire una scansione online del tuo computer tramite questo sito web: Windows Live OneCare Safety scanner http://onecare.live.com/site/it-it/default.htm e di affidarti ad un antivirus robusto come OneCare o ForeFront. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Lucas, il Task Schedule lo puoi bloccare da "Pannello di Controllo" --> "Servizi" --> "Task Scheduler" I task bloccati sono solo quelli che trovi nella cartella C:WindowsTasks Il sistema operativo continuerà a funzionare correttamente. Considera che ormai quasi tutti gli antivirus aggiornati sono in grado di rilevare correttamente la presenza del virus anche nella cartella Tasks. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Davide, grazie per la segnalazione. Considera che in ambienti di produzione bloccare le porte 445 e 135 su tutti i server di produzione può portare ad errori anche gravi di funzionamento dell'intera rete. In più non possiamo garantire un corretto funzionamento di programmi di terze parti non sviluppati direttamente da Microsoft. Grazie e Buona serata.

  • Anonymous
    January 01, 2003
    Ciao Dario, il virus che hai indicato è un altro tipo. L'elenco dei nomi dato al virus dalle varie società di Antivirus lo trovi qui: http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm:Win32/Conficker.B Per avere maggiori informazioni esegui una ricerca nella sezione Security del sito Microsoft: http://www.microsoft.com/security/portal/SearchResults.aspx?query=win32%2Fautorun-rx Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Grenzo, Per quanto riguarda la rimozione del file da parte di GMER, puoi procedere come indicato nel post in quanto sarà cancellato solo il file che contiene il virus e non il programma svchost.exe. Per quanto riguarda Trend OfficeScan, ti consiglio di eseguire l'aggiornamento manuale se non riuscisse ad aggiornarsi automaticamente in modo da poter essere protetto dalle ultime versioni del virus. Per le informazioni riguardo SSDT è una tabella utilizza dal sistema operativo per gestire le chiamate da user mode a kernel mode: System Service Descriptor Table. In questo modo un malware modificando la tabella può intercettare tutte le chiamate verso il kernel, dirottarle al suo codice e modificarne il comportamento. Non può essere rimossa ma solo ripristinata ai valori di default. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, Puoi utilizzare il comando: gpresult /s %computername% /r Oppure più semplicemente verificare su quali computer è presente la share admin$ oppure verificare lo stato dei servizi che hai disabilitato: sc %servername% query %servicename% Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Massy, per quanto riguarda il Conficker.B puoi utilizzare i tool descritti nella sezione "Rimozione automatica (consigliata)". In particolare un metodo veloce per essere sicuro che il computer non sia infetto è quello di utilizzare il Microsoft Malicious Software Removal Tool che trovi a questo indirizzo: http://www.microsoft.com/security/malwareremove/default.mspx Infine, è importante avere un antivirus aggiornato e le ultime patch di sicurezza rilasciate per il sistema operativo in modo da non essere esposto a reinfezioni future come descritto nella sezione "Prevenire la reinfezione". Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Mark, Ho girato il tuo commento al team che sviluppa il programma. Sarebbero interessati a contattarti. Puoi scriverci tramite questa pagina: http://blogs.technet.com/itasupport/contact.aspx Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Paolo, I metodi di reinfezione dopo l'aggiornamento di sicurezza è descritto a questo indirizzo (sezione "Analysis"): http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B Come vedi una volta chiusa la vulnerabilità, il virus proverà ad accedere con le credenziali dell'utente loggato prima e con attacchi forza bruta poi, alla share Admin$ di tutti i computer identificati in rete. Se l'attacco va a buon fine, sarà ricreata la DLL del virus nella cartella C:WindowsSystem32 Per questo è fondamentale che tutti i server già puliti abbiano l'antivirus aggiornato con ultima definizione e motore di scansione realtime in grado di rilevare il Conficker e rimuoverlo. Questo permette di bloccare la reinfezione delle macchine già pulite. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Massy, è possibile eseguire il Microsoft Malicious Software Removal Tool su un computer che ha installato l'antivirus in quanto è un programma standalone che non rimane attivo al termine dell'esecuzione. Questo tipo di scansione è eseguita automaticamente ogni mese durante l'aggiornamento del sistema tramite Windows Update. Un altra soluzione può essere quella di utilizzare la scansione gratuita online di Windows Live OneCare Safety scanner disponibile al seguente indirizzo: http://onecare.live.com/site/it-it/default.htm Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, rimuovere l'Admin$ permette di limitare l'infezione interna tra i vari computer. Al punto 2 è consigliato disabilitare il servizio "Task Schedule" in modo che l'altro metodo di infezione ovvero quello tramite "AT*.job" non potrà attivarsi. Infatti al punto 31 è indicato di rimuovere tutti i job schedulati. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao a tutti, ci sono stati dei problemi nella pubblicazione dei commenti che sembrano rientrati. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao 10nico, Ti consiglio di confrontare i permessi sulla chiave di registry utilizzata per modificare la visualizzazione dei file. HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL Un altro consiglio è di verificare i valori impostati su un client che non presenta il problema. Infine puoi utilizzare il Process Monitor per vedere le chiavi che sono modificate nel momento in cui attivi o disattivi l'opzione di visualizzazione dei file nascosti: http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Giovanni, Il virus va a modificare molte chiavi di registry e quindi non ci è possibile a priori sapere come ripristinare il Sistema Operativo. Per il problema specifico, puoi risolvere in questo modo.

  1. Pulsante Start --> Esegui --> REGEDIT
  2. Spostati nella seguente chiave HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced
  3. Nel pannello di destra, fai doppio click sulla chiave "Hidden" e imposta il valore a "1" per visualizzare i file nascosti. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Michele, se hai un case aperto, puoi contattarci tramite il numero di supporto tecnico: 02 70398 398 oppure scriverci con il numero di referimento della SR tramite questa pagina: http://blogs.technet.com/itasupport/contact.aspx Grazie e Buona giornata

  • Anonymous
    January 01, 2003
    Ciao Stefano, grazie per aver condiviso lo script. Questo limita la diffusione del virus agli altri server in quanto viene rimosso il task che installerà il virus sui server indicati. Successivamente bisogna procedere alla pulizia dei server di origine che creano i file AT*.job e che risultano ancora infettati. Grazie e Buona serata.

  • Anonymous
    January 01, 2003
    Ragazzi, scusatemi. Vorrei capire una cosa.... qual'è la soluzione migliore per la rimozione del virus, e soprattutto impedire che i sistemi si reinfettino ??? Fare una scansione/rimozione con antivirus rimuove il virus ma non sempre le chiavi di registro e i processi. E' meglio utilizzare la procedura manuale, in modo da proteggere anche le modifiche alle chiavi ? grazie a tutti

  • Anonymous
    January 01, 2003
    Ciao Stefano, grazie per le informanzioni: aggiorno il post in modo da includere anche quel tool. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao moz, per poter eseguire Windows Update devi verificare che il servizio sia abilitato. Fai un confronto dello stato dei servizi tra il client che presenta il problema con uno pulito. Ciao linuxmc, inizia con hotfix MS 08-067 Assicurati che l'antivirus sia aggiornato e in grado di riconoscere il virus Per quanto riguarda la diffusione interna, conviene disattivare il servizio server e schedule come indicato nello script. I server conviene pulirli manualmente, mentre per i client lo script funziona correttamente ed è distribuibile velocemente. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, Uno dei metodi utilizzati per diffondere l'infezione avviene tramite l'accesso alla share admin$ ai computer collegati in rete. Per poterla rimuovere, anche se è presente nella procedura ufficiale del post, devi eseguire il seguente comando: net share admin$ /delete come consigliato da Roberto alcuni messaggi sopra. Se vuoi che il comando sia eseguito su tutti i computer devi impostare uno "Startup script" a livello di dominio e riavviare i PC, oppure eseguire il comando da remoto con PSEXEC: http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx Considera comunque che al successivo riavvio, se non ha impostdato nessuno script di startup, la share ADMIN$ sarà ricreata automaticamente. Grazie e Buona serata.

  • Anonymous
    January 01, 2003
    Attualmente Forefront è in grado di rilevare le ultime varianti di Conficker e rimuoverle dal sistema. Se hai già eseguito la pulizia del server è normale che non identifichi più il servizio. Verifica inoltre di avere l'ultima versione delle definizioni antivirus disponibili a questo indirizzo: http://www.microsoft.com/security/portal/ Considera che altri server infettati nella rete possono ridistribuire il virus su dei server già puliti e per questo è fondamentale seguire i punti indicati nel post per ridurre il diffondersi dell'infezione. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao grenzo, come riportavo nei commenti del 7 Gennaio, risulta complesso capire l'utente con cui prova ad accedere al server in quanto è un attacco di tipo forza bruta. E' più semplice capire il server di origine dell'attacco utilizzando il tool di TCP View che trovi a questo indirizzo: http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx Inoltre puoi utilizzare anche il comando NETSTAT -ONA per visualizzare le statistiche sulle connessioni attive. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Grenzo, dipende da quale antivirus stai utilizzando: ForeFront e OneCare sono in grado di rimuovere il virus in maniera corretta. Come indicato in procedura è consigliato riavviare il server e verificare che non ci siano task schedulati da parte di altri server infettati nella rete. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Lucas, è corretto mettere quello script come policy di "startup" in modo che sia eseguito all'accensione del computer e non al "logon" ovvero quando poi l'utente accede alla macchina. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Mark, Grazie per la segnalazione. Eseguo un po' di verifiche interne e ti aggiorno il prima possibile. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Schiaccianoci, Verifica che effettivamente sia presente quel tipo di virus eseguendo una scansione con Windows Live OneCare Safety scanner disponibile gratuitamente online a questo indirizzo: http://onecare.live.com/site/it-it/default.htm Inoltre, ti consiglio di controllare se nel "Task Scheduler" sono presenti dei job come indicato nell'articolo. Grazie per la collaborazione e Buona giornata

  • Anonymous
    January 01, 2003
    Ciao a tutti, vi segnalo questo tool sviluppato da F-Secure da provare per rimuovere il virus in maniera automatica: http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml Considerate che è in beta e quindi non supportato in caso di problemi. Grazie e Buona giornata.

  • Anonymous
    January 01, 2003
    Ciao Francesco, risulta complesso capire l'utente con cui prova ad accedere al server in quanto è un attacco di tipo forza bruta. E' più semplice capire il server di origine dell'attacco utilizzando il tool di TCP View che trovi a questo indirizzo: http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx Inoltre puoi utilizzare anche il comando NETSTAT -ONA per visualizzare le statistiche sulle connessioni attive.

  • Anonymous
    January 01, 2003
    Ciao Claudio, Come indicato nel post, il virus arresta o disabilita alcuni servizi fondamentali del server ed è per questo che il modo migliore per rimuoverlo è tramite Antivirus installato nel server o il tool di scansione online offerto da Microsoft. Per quanto riguarda gli altri problemi è necessario avere i dati del server. Quindi ti consiglio di contattare il nostro supporto tecnico come spiegato in questa pagina: http://support.microsoft.com/default.aspx?ln=it Grazie e Buona giornata.

  • Anonymous
    January 07, 2009
    su macchina infetta GMER non mi rileva nessun servizio nascosto... bisogna prima rimuovere il driver che lo nasconde? dall'articolo avevo capito non fosse necessario. Help!

  • Anonymous
    January 07, 2009
    The comment has been removed

  • Anonymous
    January 07, 2009
    Nel Server 2003 Enterprise ha trovato viugljel. Al tentativo di rimozione mi avverte : This Action might Crash... Vado avanti?

  • Anonymous
    January 07, 2009
    Sempre nel 2003 Enterprise mi trova varie righe Type:SSDT che non possono essere rimosse ma solamente : Restore SSDT, cosa sono? Grazie

  • Anonymous
    January 07, 2009
    No, ho il TREND OFFICESCAN ma non si aggiorna, e' il GMER che trova viugljel. Se vado aventi nella rimozione mi dice: Are you sure you want to delete service file "viugljel" - "C:WindowsSystem32svchost.exe". Vado avanti? svchost.exe e' un servizio fondamentale di Windows?  puo' essere compromesso?

  • Anonymous
    January 07, 2009
    Ok, grazie 1000, ma tu sai come si fa la scansione manuale di Trend? Nel sito non ho trovato spiegazioni decenti, cmq utilizzo l'ultimo pattern ed il programma sysclean.com il quale lancia il programma DOS VSCANTM che si dichiara pero' compatibile con le piattaforme: 9x/Me/NT/2000/XP ma niente 2003. Esiste un buon Antivirus che abbia una buona assistenza? grazie ancora

  • Anonymous
    January 07, 2009
    The comment has been removed

  • Anonymous
    January 07, 2009
    Grazie, esiste un blog/newsgroup possibilmente in italiano in cui si discute di Forefront? ( sarei fortemente interessato... ) ciao e grazie

  • Anonymous
    January 07, 2009
    Salve. Questo virus tristemente famoso ha infettato tutta la nostra rete, client e server compresi! Trend Micro Officescan aggiornato trova il virus (come WORM_DOWNAD.AD) ma il problema e la diffusione continuano. Sto facendo girare il Windows Live OneCare Safety scanner su alcune macchine. In attesa del risultato, chiedo ai luminari: Ma se su tutti i nostri client e server risulta già installata la fix KB958644 (MS08-067) come mai il virus che sfrutta questa vulnerabilità continua a diffondersi ???

  • Anonymous
    January 07, 2009
    Grazie per la risposta tempestiva. Ho cambiato su alcuni Member Server e su alcuni pc la pwd del Administrator locale e il problema per il momento sembra tamponato. Ma sui Domain Controller come posso risolvere il problema? Mi tocca cambiare la password di tutti i Domain Admins? Grazie ancora per la disponibilità. Buon lavoro Francesco Fabbri

  • Anonymous
    January 07, 2009
    Per conoscenza, il problema si presenta anche dopo aver cambiato la password dell' Administrator locale. Temo che ci sia qualche domain admins con password debole a questo punto. C'è modo di capire con quale utente il virus riesce a diffondersi? Sui Domain Controller vedo una miriade di Failure Audit di tipo Logon/Logoff. Grazie ancora. Francesco

  • Anonymous
    January 07, 2009
    Abilitando gli Audit di accesso al Logon e all'accesso degli oggetti su un PC ho visto che i task schedulati ATxxx.job  vengono creati usando le credenziali di Administrator di dominio, la cui password è sicuramente complessa e non contenuta nell'elenco evidenziato sul sito TrendMicro. A questo punto credo che il Virus o riesce ad intercettare le password con un keylogger o similare oppure sfrutta una macchina infettata in cui l'Administrator di dominio è loggato e si diffonde in rete usando il passthrough dell'autenticazione. Cosa ne pensate?

  • Anonymous
    January 07, 2009
    Ragazzi, abbiamo lo stesso problema su server e workstation, circa 6000 unità. la prima pezza per bloccare il fenomeno a livello locale è chiudere brutalmente la porta 445 e la 135 con Windows Worms Doors Cleaner disponibile all'inidirizzo http://www.firewallleaktester.com/wwdc.htm. Funziona sia sui client Xp e 2000 che sui sistemi Server

  • Anonymous
    January 07, 2009
    Si , mi rendo conto, infatti chiudendo le 2 porte che usa il worm almeno sui sistemi workstation riusciamo a tamponare. Sono d'accordo con il discorso in ambiente Server, infatti da questo punto di vista stiamo avendo non pochi problemi. Fortunatamente con l'utilizzo di  Windows Worms Doors Cleaner su Isa server infetto siamo riusciti a riaccedere a tutti i siti che ci aveva bloccaro il worm e di conseguenza tutte le macchine collegate via proxy :)

  • Anonymous
    January 08, 2009
    Ho eliminato sul client con Gmer il servizio nascosto ma dopo al riavvio non funzionano pi� decine di servizi , il copia/incolla , e m i ritrovo la macchina non pi� collegata in Workgroup ma in Dominio e senza possibilit� di cambiare le opzioni...

  • Anonymous
    January 08, 2009
    Vi consiglio di far girare sui PC tramite policy questo script per arginare la diffusione. Ovviamente le Schedulazioni sui PC non funzioneranno più!

if not exist %windir%SYSTEM32taskkill.exe copy \yourdomain.localsysvolyourdomain.localscriptsWORM_DOWNADtaskkill.exe %windir%SYSTEM32 if not exist %windir%SYSTEM32sc.exe copy \yourdomain.localsysvolyourdomain.localscriptsWORM_DOWNADsc.exe %windir%SYSTEM32 taskkill /IM rundll32.exe /F net stop schedule del %windir%TasksAT*.job sc config schedule start= disabled sc config ERSVC start= demand sc config BITS start= demand sc config WUAUSERV start= auto sc config WSCSVC start= auto

Buon lavoro Francesco Fabbri

  • Anonymous
    January 08, 2009
    Esiste qualche tool di rimozione ? Il TREND adesso lo riconosce ( pattern 5.757 ) il GMER e' stato passato ma le entry nello Schedule task si ricreano di continuo....L' efftto si calma un po' e poi si riscatena di nuovo... Grazie

  • Anonymous
    January 08, 2009
    Non c'è nessun driver che nasconde il servizio. Il file temporaneo che avete trovato è il driver utilizzato per la modifica del driver tcpip.sys al fine di sbloccare le connessioni nei sistemi Windows XP SP2

  • Anonymous
    January 08, 2009
    Non potendo fermare il servizio di schedulazione ho risolto brutalmente con un file batch del tipo: del c:windowstasksat*.* del \server1c$windowstasksat*.* del \server2c$windowstasksat*.* del \server3c$windowstasksat*.* schedulato ogni 5 minuti su uno dei server...

  • Anonymous
    January 08, 2009
    per me spegnere il servizio server durante la pulizia era impensabile. così ho di fatto tolto solo lo share ADMIN$ con il comando: net share admin$ /delete tale share viene utilizzato dal virus per copiarsi sui sistemi sani per ora sembra funzionare e le macchine con ADMIN$ disabilitato mi restano pulite. NB: attenzione se riavviate lo share viene ricreato automaticamente dal sistema.

  • Anonymous
    January 09, 2009
    su una rete di molti client e server, monitorando i link principali con ids/ips posso sapere quali sono esattamente i pc infetti ?

  • Anonymous
    January 09, 2009
    In effetti sarebbe estremamente utile sapere chi e' infetto e va ad infettare gli altri pc, altrimenti non ne usciamo fuori... :-(( grazie

  • Anonymous
    January 09, 2009
    Non so se sia lo stesso, ad esempio gli utenti non risultano bloccati e non trovo nessun task schedulato, ma per il resto il comportamento coincide punto punto. Ho risolto con gmer cancellando il servizio nascosto su tutti i PC e su alcuni server ed ho bloccato la contaminazione. I servizi li ho ristabiliti manualmente perché se partono in automatico al prossimo riavvio il trojan si rigenera. Ho lasciato appositamente due server contaminati per verificare la tipologia di diffusione e in tre giorni c'è il servizio scvhost che lavora tantissimo assieme al processo lsass. Solo su un server gmer dà anche a me l'errore su: C:Documents and SettingsAdministratorWindowsSystem32driversgmer.sys.

  • Anonymous
    January 09, 2009
    Per controllare che macchine erano compromesse ho attivato l'audit sui Domain Controllers "audit account logon events" e "Audit logon events" sia come success che failure. Dopo i primi giorni di flood tramite brute force falliti (per capirsi in una rete da un centinaio di pc di cui 3/4 infetti su un'ora decine di migliaia di logon failure) tramite EventCombMT (di Microsoft?) selezionando i DC, log security, type failure audit, Event id 675 mi son via via passato tutti i pc che cercavano di loggarsi con password sbagliate. Ora toccando ferro vedo la fine del tunnel dopo 5 giorni di pulizie service pack e patch. Per la cronaca stamattina anche trend è uscita con un fixtool qua http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=Sn e esiste già la variante WORM_DOWNAD.AE Ciao

  • Anonymous
    January 10, 2009
    Nell' articolo si dice: Potrebbe esserci una voce nella seguente chiave di registro che avvia il malware e che deve essere rimossa HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun io ho: C:WINDOWSsystem32ctfmon.exe devo rimuoverla? p.s. purtroppo la FIX di Trend non funziona, almeno da me... Grazie

  • Anonymous
    January 10, 2009
    neanche a me ..e da stamatt alle 7 che sono al ced ..ho schedulato quello che brasa gli at* .. :((((

  • Anonymous
    January 10, 2009
    cftmon.exe dal sito microsoft: "Ctfmon.exe attiva il processore per l'input di testo (TIP, Text Input Processor) di Input alternativo utente e la barra della lingua di Microsoft Office." direi che non va cancellato dal run. Dico la mia esperienza-incubo: Essenziale è avere l'antivirus aggiornato sulla macchina, dopo di che la chiave di registro che ritengo più importante è HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost nella quale c'e' netsvsc da modificare cancellando l'ultima voce che nelle macchine infette sono una serie di lettere a caso (una ricerca con google di tale voce se non dà risultati è quasi sicuro sia file random del virus) poi sul pannello servizi si rimette in automatico i servizi che disabilita il virus (tra i quaili windows update e bits) patch MS08-067, cancellazione dei comanti AT nello scheduler e riavvio. Per prima cosa passarsi i server poi le macchine con diritti amministrativi tipo ced o direzione. Chi avesse dischi mappati sui pc controllare che non ci sia un autorun di sistema e nascosto da qualche decina di kb sulla root di tale disco. Ho notato che avendo delle home folders sul server degli utenti, tipo la classica mappatura stile NT di U: sul server per gli utenti, l'autorun.inf infetto lo si puo' cancellare dal server con classica una ricerca file (io ne ho trovati almeno una decina sulle home e l'antivirus non le rileva). Son 2 giorni che non ho richeste strane sul server avendo attivato l'audit delle password sbagliate e la situazione sembra risolta.

  • Anonymous
    January 10, 2009
    Scusate vorrei sapere se questo virus è una variante o uguale a win32/autorun-rx che segnala la sophos perchè a quanto pare credo che faccia danni simili ma sfrutta un' altra vulnerabilità cioè la LSASS descritta nel Microsoft Security Bulletin MS04-011. I sintomi sono active directory non più visualizzabile alcuni servizi apparentemente avviati non funzionano tipo: server, browser computer e accesso rete impossibile accedere da un altro computer con il desktop remoto forse per via di quei servizi ahh. e dominio inesistente o non disponibile. Il sistema Windows 2003 Server era con SP1 ho aggiornato tutto fino all' ultimo fix ma il problema rimane. Ho fatto tutto quello che stato spiegato qui ma non trovo nessun riferimento.

  • Anonymous
    January 10, 2009
    News sui tool di rimozione? E si che alla Trend, x esempio,  diamo una vagonata di $... :-(

  • Anonymous
    January 10, 2009
    Ciao Stefano dice: sul server per gli utenti, l'autorun.inf infetto lo si puo' cancellare dal server con classica una ricerca file (io ne ho trovati almeno una decina sulle home e l'antivirus non le rileva). Basta cercare con Cerca --> File E cartelle --> nel campo Nome del file inserire : autorun.inf --> altre Opzioni avanzate [x] Cerca nei fil e nelle cartelle nascosti [x] Cerca nelle sottocartelle? Non trovo niente...:-( Poi: Son 2 giorni che non ho richeste strane sul server avendo attivato l'audit delle password sbagliate e la situazione sembra risolta. Come si attiva l'audit delle password sbagliate? Avete cambiato la password dell'amministratore di dominio? grazie

  • Anonymous
    January 10, 2009
    Veramente di Autorun.inf adesso ne trovo ma hanno tutti le dimensioni di 1 KB e sembrano inseriti in directory di applicazioni che sono installate nel server. Cancello tutto? Potrebbe non funzionare qualcosa? grazie

  • Anonymous
    January 10, 2009
    @grenzo gli autorun.inf che ho trovato differivano dai soliti da 1k  o 2k tipo: [autorun] open=Setup.exe icon=pippo.ico ma erano mi sembra da circa 90k e se li aprivi col notepad uscivano solo sgiribizzi, ne ho trovato uno anche su una chiavetta usb... quindi farei attenzione a caricarsi fix e tools sulla chiavetta per controllare i pc perche magari si fa da untori... Per la domanda se abbiamo cambiato la password di Administrator, no, non ancora almeno. A mio avviso il virus (a meno che la password non rientri nella lista di circa 250 password che tenta http://www.trendmicro.com/vinfo/it/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T secondo me non la  puo' conoscere in quanto è crittografata in AD e non fa keylogging. Il problema è che "impersona" l'utente loggato e se questo è amministratore trova campo libero sulle condivisioni amministrative dei pc in dominio. Cambiare la password per me non serve a niente visto che l'amministratore di turno con la password nuova di 20 caratteri fa login e il virus fa comunque quello che deve fare tramite le credenziali dell'utente. Per quanto rigurda invece l'amministrotore locale sui pc quella si che è un problema, dal momento che spesso e volentieri ci si trova con pc del dominio con password di administrator locale debole (es password) o inesistente. Quindi ti ritrovi che hai pulito il server, il domain admin è sicuro, ma il virus passa di pc in pc perchè becca le password di local admin dei client. Almeno questa è stata la mia impressione

  • Anonymous
    January 10, 2009
    Ok, infatti x ora ho cambiato le password di Administrator locale e non quella del di Administrator di dominio, pero' se parte dal server entra nel pc Client perche' l'Administrator di dominio e' anche Administrator locale..:-(. Qualche PC che sembra pulito con regedit, Autorun.inf etc. anche a rete staccata fa apparire le maschere di Alert dell'antivirus Trend che rileva il WORM_DOWNAD.AD, vuol dire che il PC e' infetto? Poi, qualcuno ha parlato di una policy di dominio che disabiliti tutte le  share ADMIN$ dei PC e dei Server. Qualcuno sa come si fa? E' consigliabile? Ciao e grazie

  • Anonymous
    January 11, 2009
    ma siamo tutti utenti trend-micro? ma la trend-micro che fa? a mio avviso non debella questo worm. A me era già successo con il korgo 3 (o 4 non ricordo..) anni fa. L' avevo preso su vari client, il pattern non esisteva, si era diffuso prima il virus che la soluzione da parte di trend...dopodiche passati alcuni giorni il pattern e lo scan engine si sono aggiornati e l'ha debellato automaticamente sui client infetti. SPERO faccia cosi' a breve anche con questo...

  • Anonymous
    January 11, 2009
    Vorrei realizzare uno script di logon x disabilitare $Admins di tutti i pc e server della rete: ho realizzato un file .bat che contiene il comando ma dove lo devo inserire? in C:WINDOWSSYSVOLdomainscripts del server di dominio? C'e' un articolo che spiega dettagliatamente come realizzare uno script di startup tramite le policy di dominio? Grazie

  • Anonymous
    January 11, 2009
    Ok, grazie inoltre e' consigliabile arrestare il servizio * Task Scheduler* ( Utilita' di pianificazione in italiano ) su tutti i PC ed i Server? Grazie

  • Anonymous
    January 11, 2009
    Ho attivato la policy di dominio x disabilitare $Admins, ma adesso non vedo piu0 le cartelle condive dei server. E' normale? grazie

  • Anonymous
    January 11, 2009
    No il servizio Server e su' sia nel server che nel client che cerca di connettersi alla cartella condivisa ..:-( cmq, i comandi : del %windir%Tasks*.job net stop schedule sc config schedule start= disabled posso inserirli nello script di logon del dominio insieme a: net share admin$ /delete ? grazie

  • Anonymous
    January 11, 2009
    Ah, x il server che non mette piu' a disposizione le directory condivise ( ne fa vedere solo una veramente.. ) dove posso guardare?  Dell'unica che fa vedere mette a disposizione solamente la directory associata all'utente e non quelle degli altri utenti ( anche se la condisione e' everyone ),A forza di abilita/disabilita servizi ecc..  puo' essere avvenuta qualche restrizione? grazie

  • Anonymous
    January 11, 2009
    Ok, bene, un'ultima domanda : come faccio a controllare che lo script di dominio sia stato eseguito nei server e client che sono stati accesi ( o riavviati ) dopo l'inserimento dello script? grazie

  • Anonymous
    January 12, 2009
    Ciao a tutti, dopo aver passato giorni di inferno nell'azienda in cui lavoro a causa del virus in questione, vorrei confermare che la propagazione avviene attraverso le condivisioni $ADMIN, sempre se la password di administrator dei client sono uguali tra loro o peggio ancora, a quelle dei server. Per rimuovere il virus su tutti i Pc aziendali stò effettuando i seguenti passi: Ho inizialmente rimosso dai server il virus tramite i 2 tools di rimozione rilasciati da F-Secure e subito dopo reimpostato una nuova password. Inoltre in alcuni casi ho anche effettuato una scansione con il programma Trojan Remover che in pochi secondi riesce a beccare i servizi in esecuzione e ad eliminarli. Successivamente ho iniziato a ripulire i client seguendo la stessa identica procedura adottata per i server. Il metodo sembra funzionare, infatti, attraverso l'utilizzo di un PC su cui ho installato Comodo Firewall, riesco a capire da quali PC giungono i tentativi di propagazione del virus sulla porta TCP 445. Inizialmente Comodo mi segnalava quasi tutti gli indirizzi IP dei Pc aziendali, adesso dopo la rimozione, mi segnala soltanto quelli su cui non ho ancora passato i tools di rimozione. N.B. E' importante copiare i tools di rimozione su un cd o dvd e non su una chiavetta usb, che potrebbe infettarsi e diventare mezzo di propagazione del virus. Accertatevi quindi che sulla vostra Pen-Drive non sia presente alcun file AUTORUN.INF, per farlo basta abilitare la visualizzazione dei files nascosti e di sistema. Spero di esservi stato d'aiuto.

  • Anonymous
    January 12, 2009
    Una volta modificate le permission sulla chiave srvchost (punto 13)non si riesce più ad eseguire WindowsUpdate (punto 34)....cosa si fa?

  • Anonymous
    January 13, 2009
    Vi segnalo che Microsoft ha rilasciato un aggiornamento del Tool MSRT http://www.microsoft.com/security/malwareremove/default.mspx

  • Anonymous
    January 14, 2009
    Ho rimosso il virus su 4 server manualmente, ma trovo ancora errori nel registro eventi del server di dominio primario del tipo: ORIGINE: SAM ID EVENTO: 12294 Descrizioine: Il database SAM non è stato in grago di escudere l'account administrator a causa di un errore di risorsa.... ecc. ecc. come administrator mi loggo solo nei server e i server ora nn sono più infetti, quindi perche mi compare ancora questo errore; inoltre da quando ho beccato il virus ho errori di replica in AD tra i due server

  • Anonymous
    January 14, 2009
    solo nei server mi loggo come administrator; ho cambiato la password, rinominato administrator in admin, rimosso il virus come scritto sopra, ho usato nei 4 server anche l'utility della fsecure per rimuovere il virus e mi dice che non c'è più... non so più che fare, ho anche un caso microsoft aperto ma non mi danno risposta.

  • Anonymous
    January 14, 2009
    Ciao, ma la nuova fix: http://www.microsoft.com/security/malwareremove/default.mspx funziona? Io l'ho fatto girare su un PC e non mi trovava nulla. Ma dopo un po' l'alert Trend WORM_DOWNAD.AD e' riapparso..:-((

  • Anonymous
    January 14, 2009
    io se faccio girare l'MSRT su una macchina infetta dal Win32/Conficker.B non mi rileva l'infezione ma mi identifica come file infetti i 222 file contenuti nei DAT di Symantec Antivirus (che poi in realtà non sono infetti...)

  • Anonymous
    January 14, 2009
    Si vi serve è uscito anche il tool aggiornato di rimozione by Symantec (già testato e funzionante) http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

  • Anonymous
    January 14, 2009
    Grazie per i consigli... io però ho provato la rimozione con il tool di rimozione malware aggiornato di Microsoft. Effettivamente rileva l'infezione e la elimina.... Poi rimuovo i task creati dalle operazioni pianificare e riavvio il server... e dopo alcuni minuti... mi ritrovo At1, At2, At3, etc.... e il server è patchato ad oggi !!!! Che si fa ?

  • Anonymous
    January 15, 2009
    Rimossa la ADMIN$ ma l' Antivirus ( Trend ) mi trova TROJ_DONADJOB.A in C:WindowsTasksAt1.job, cos'e' una variante? e visto che non ho la ADMIN$ significa che il virus e' residente? Ah ho passato tutti i tools, Microsoft, Symantec ecc.. ma non ho visto nessun effetto.... :-( ciao

  • Anonymous
    January 15, 2009
    TROJ_DONADJOB.A non è nientaltro che il file AT*.job che il virus downad.ad crea. Infatti da ieri i pattern Trend rilevano e cancellano anche i job AT schedulati dal virus, quindi (almeno per chi ha Trend installato e aggiornato sulle macchine) fermare il servizio Task shedule non è più così essenziale.

  • Anonymous
    January 15, 2009
    Vi confermo che, almeno nel mio caso, dopo aver rimosso i task AT*.job, disabilitato le Admin share e effettuato la scansione con il Malware Removal Tool di Microsoft, l'infezione non si ripresenta più, pur essendo il server su cui ho fatto la prova collegato in una rete con almeno 40 tra client e server ancora infetti....... grazie mille ancora

  • Anonymous
    January 16, 2009
    Ciao a tutti, grazie per tutti i consigli/script/contributi che mi hanno aiutato ad iniziare (sigh) la riscossa contro questo fetentissimo rootkit. Tuttavia ho ancora un problema (limitato ad alcuni pc per fortuna) e cioè non riesco più a visualizzare i file nascosti nemmeno se abilito le opportune opzioni e/o se imposto la chiave di registro a mano. In sostanza se flaggo "visualizza i file nascosti" e deselezione "nascondi i file protetti e di sistema", clicco applica, applica a tutte le cartelle, esco e rientro nelle proprietà e le opzioni sono tornate come prima. C'è qualcuno che sa come fare? Grazie a chiunque risponderà! 10nico

  • Anonymous
    January 16, 2009
    The comment has been removed

  • Anonymous
    January 22, 2009
    Si vi serve è uscito anche il tool aggiornato di rimozione by Symantec (già testato e funzionante) http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99 Ciao, abbiamo provato la fix; non ha trovato nulla, in compenso ora il .NET 2.0 mi da questo errore: .NET 2.0 runtime error Access denied Qualche idea? Grazie, ciao.

  • Anonymous
    January 26, 2009
    Ancora  WORM_DOWNAD.AD.. Ciao nella mia LAN gira ancora il Worm, oggi ho installato un nuovo Server Member 2003 ed alcuni istanti dopo aver installato l'antivirus TREND mi sono apparse 18 segnalazioni!! Ho guardato nell' Event Viewer ma non c'e nessun Failure Audit. Come posso sapere da dove e' avvenuto l'attacco? grazie

  • Anonymous
    January 27, 2009
    Possibile che questo virus non si propaghi tramite la rete? l'ho scovato su 2 pc con installato kaspersky i sintomi (alcuni siti bloccati,aggiornamenti antivirus impossibili ecc...) mentre altri pc con panda non hanno avuto nulla facendo scambio di file con una chiavetta panda ha individuato subito conficker.... grande panda :)

  • Anonymous
    February 05, 2009
    salve, scusate, sono nuovo al tema: como posso rendermi conto se i l mio pc e' "infetto"? e' sufficiente una scansione dell;antivirus per escludere al 100% l'"infezione" ? dovrei pure controllare altre cose..? tipo task manager ecc. ..scusate l'ignoranza.. saluti

  • Anonymous
    February 05, 2009
    ovviamentemi riferivo a Conficker.. volevo solo sapere se esiste una procedura di controllo che garantisca al 100% di non aver "contratto il conficker" grazie

  • Anonymous
    February 05, 2009
    grazie per la risposta! provero' cosi'! ma posso utilizzare il Microsoft Malicious Software Removal Tool anche se ho gia' installato un altro antivirus? sapevo che piu' antivirus allo stesso tempo comportassero problemi al sistema..

  • Anonymous
    February 17, 2009
    Siamo sotto attacco da circa 6 giorni da questo malefico worm. La nostra azienda (ospedale) è dotata di circa 800 clients e 60 server windows (2000 / 2003 / 2008). Prendiamo atto che la propagazione sia avvenuta mediante il bug di windows non patchato (nostra colpa!), ma ora stiamo provando ad uscirne ... con tanta difficoltà, soprattutto nel tentativo di non interrompere il servizio ai pazienti. Domanda: se i server vengono "puliti" mediante tool di rimozione, patch microsoft (KB958644) e tutto questo fuori rete, è plausibile pensare che al riavvio dei sistemi i client infetti non possano + trasmettere il worm ai server? Se così non fosse, diventerebbe un grandissimo problema dover pulire contestualmente 800 macchine client + 60 server... Grazie!

  • Anonymous
    February 19, 2009
    salve, leggendo che Windoes LiveOne Care Safety Scanner deve essere installato prima di metterlo in esecuzione mi chiedevo: questo non e' standalone? il fatto e' che ho gia' il norton installato, e l'ultima volta che ho installato un "secondo" antivirus (dopo avere gia' il norton) il pc e' andato in crash... e ho dovuto formattare. posso dunque installare tranquillamente questo Windoes LiveOne Care Safety Scanner ...? o lascio perdere ? grazie in anticipo

  • Anonymous
    April 20, 2009
    buon giorno, dopo aver rimosso conficker con il tool di rimozione di Ms, ho notato che non e' possivile visualizzare i file nascosti. Penso allora che il tool di rimozione non abbia riportato Wxp allo stato originale, e quali altre situazioni il verme abbia modificato. Come posso procedere? grazie

  • Anonymous
    April 22, 2009
    Buongiorno a tutti, Ho appena finito di leggere tutti i posts sopra presenti. Mi chiedo una cosa: come si ferma il Task Schedule? Ma, soprattutto: fermandolo blocco ovviamente tutti quei processi che il PC avvia in automatico? Grazie mille.

  • Anonymous
    April 22, 2009
    Grazie per la celere risposta! Ok, grazie. Immagino si riavvii da solo una volta riavviato il PC perciò ho messo questo scriptino nelle policy del dominio: net share admin$ /delete net stop schedule del %windir%Tasksat*.job Spero di aver fatto correttamente la procedure di inserimento dello script nel dominio (vorrei che quello script fosse eseguito da tutti i PC che fanno accesso al dominio). Spero anche quindi di marginare la diffusione di questo worm che ha infattato la LAN (25 clients e 3-4 servers).

  • Anonymous
    May 06, 2009
    Purtroppo nella mia azienda abbia preso il conficker e adesso stiamo procedendo a ripulire tutte le macchine. Stiamo utilizzando prima Gmer per cancellare il servizio, poi installiamo il Aggiornamento di sicurezza MS08-067, facciamo girare  Microsoft Malicious ed installiamo il nostro antivirus(adesso aggiornato) che riesce a pulire la macchina ... Purtroppo su alcuni personal computer non riusciamo a far partire l'aggiornamento di sicurezza e nemmeno Malicious pur avendolo pulito con l'antivirus ... Come posso risolvere il problema ?

  • Anonymous
    May 17, 2009
    Ciao, ho un problema con WindowsLiveMess, ho confermato l'apertura di un messaggio che faceva riferimento ad una foto, ed eccomi accontentato si è infettato il PC ha iniziato a mandare messaggi con link a foto ovviamente inesistenti, ho avvisato i miei amici di non aprire ed ho iniziato la battaglia provati i vari sistemi scaricati dalla rete, fatto scan con vari antivirus alla fine ho disinstallato il Messanger ed utilzzato MSN via web ancora partono messaggi. Cosa posso fare non vorrei formattare PS il SO Vista

  • Anonymous
    October 02, 2009
    @Carbone cambiare password di accesso al messenger??? Molto probabilmente cliccando sulla link della foto sarai stato dirottato su un sito fake che chiedeva login di hotmail.  Ora un bot starà usando le tue credenziali per infettare i tuoi contatti nello stesso modo.  Non risolvi disinstallando msn dal tuo pc, ma modificando la password.

  • Anonymous
    January 18, 2010
    Ciao a tutti...Anch'io la scorsa settimana l'ho passata a ripulire server e client...una cosa che ho scoperto che mi ha aiutato ad individuare gli ultimi client infetti è la seguente : se andate nelle proprietà del file infetto Autorun.inf prima di rimuoverlo con un antivirus ( quello che vi si crea nelle cartelle condivise sul server, da circa 90 Kb ed invisibile ) e poi andate su Protezione / Avanzate / Proprietario dovreste trovare chi è il pc infetto che ha creato questo file. ciao