NB: ( 12 gennaio ) consigli per la rimozione di Downadup (alias Conficker,Conflicker, Kido) nei commenti: grazie a tutti i lettori che hanno contribuito alla discussione!
Primo giorno di lavoro del 2009 per il sottoscritto (reduce da un lungo periodo di ferie) ed ecco due sorprese. La prima, fastidiosa ma scenografica: una nevicata assurda. 
La seconda, fastidiosa e basta: un network worm chiamato Downadup (alias Conficker, Conflicker o Kido) che si sta diffondendo a macchia d’olio, soprattutto nelle reti aziendali. Ieri mattina i signori di TV Parma mi hanno chiesto di fornire qualche informazione al riguardo per i loro spettatori, cosa che ho fatto volentieri ma con il caratteristico imbarazzo che provo sempre quanto mi si mette davanti a un qualunque tipo di obiettivo e/o microfono (leggi: imbranato come una foca a frigger tortelli, come diceva Gadda); ho pensato quindi di riferire anche qui sul blog quel poco che so di questo malware.
Prima di tutto, il problema è diffuso e sembra purtroppo in crescita; i miei colleghi che erano al lavoro in questi ultimi giorni hanno ricevuto decine di segnalazioni, quasi tutte da aziende, molte meno da utenti privati. E’ solo un’ipotesi, ma questo potrebbe essere dovuto al periodo di ferie. Downadup sfrutta una vulnerabilità di Windows nota come MS08-067: la fix di Microsoft è già stata resa disponibile nella stessa pagina di descrizione e tramite Windows Update, ma molte aziende erano chiuse in questi giorni e potrebbero non aver aggiornato i propri sistemi. Se non lo avete ancora fatto, aggiornate le vostre macchine Windows il prima possibile, quindi. Purtroppo Downadup è stato costruito per propagarsi molto velocemente sulle reti locali e su domini/Active Directory: per farlo, una volta che si è installato su una prima macchina, ricerca attivamente nuovi “ospiti” da infettare attraverso gli share di rete.
Quando si attiva su un computer, assume i privilegi dell’utente collegato e cerca di copiarsi sulle cartelle condivise dalle altre macchine: se la condivisione è protetta da una password, può cercare di autenticarsi fornendo un account e una password prese da una lista contenuta nel suo codice, oppure effettuare un attacco brute force, ossia cercando di “indovinare” la password. Tutto questo ha un effetto secondario particolarmente antipatico: se nel dominio vige una policy che disabilita un account dopo un numero eccessivo di tentativi di login falliti su una risorsa, l’utente si può trovare improvvisamente buttato fuori dalla rete locale. Un altro effetto visibile è che alcuni servizi smettono di funzionare:
- Windows Automatic Update Service (wuauserv)
- Background Intelligent Transfer Service (BITS)
- Windows Security Center Service (wscsvc)
- Windows Defender Service (WinDefend)
- Windows Error Reporting Service (ERSvc)
- Windows Error Reporting Service (WerSvc)
e che l’utente non riesce più a collegarsi a diversi siti, in generale a quelli dei produttori di antivirus e a Microsoft: il worm compie questa azione per impedire l’aggiornamento che potrebbe rimuoverlo. Il worm normalmente viene lanciato in un file con nome casuale ed estensione .DLL: se la prima infezione ha successo, possono esistere sul sistema diverse copie dell’eseguibile, sia con estensione DLL che TMP e di solito vengono create nella cartella Windows\System32 oppure sotto \programmi\internet explorer, \programmi\movie maker e nella cartella dei file temporanei (il percorso è variabile). Diverse varianti del worm possono presentare comportamente leggermente diversi e usare percorsi differenti, quindi è comunque necessario usare un antivirus o un tool aggiornato per cercare i file infetti, non limitandosi a una ricerca manuale nelle cartelle più probabili.
Altri effetti visibili ad un’analisi del sistema: la presenza di un server HTTP in ascolto su una porta TCP casuale (serve a sfruttare la vulnerabilità e a scaricare nuove copie del worm) e l’avvio di una serie di download verso un lungo elenco di siti controllati dal virus-writer – una lista già lunga e in crescita, quindi è difficile proteggersi semplicemente bloccando dal firewall l’accesso a quei server. Come quasi tutti i malware di ultima generazione, Downadup può scaricare altre copie di se stesso, magari con leggere varianti nel codice: questo fattore si definisce “server-side polymorphism” e impedisce di ipotizzare a priori che tipo di eseguibile verrà successivamente installato, dato che l’attaccante lo può cambiare a proprio piacimento. Nelle varianti più recenti, il processo del worm è iniettato dentro quello di svchost.exe. Come sempre, anche il Registro viene modificato in vari modi. Il più evidente è la creazione di queste entry:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run = rundll32.exe [percorso / nomefile casuale]
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run = rundll32.exe [percorso / nomefile casuale]
Dove [percorso / nomefile casuale] indica la cartella in cui si trova l’eseguibile infetto, creato con nome random. Anche una chiavetta USB può essere un vettore di infezione: se Downadup ne trova una inserita in un sistema infetto, può crearvi un file autorun.inf con un richiamo al suo eseguibile infetto (che viene copiato in una cartella nascosta, sempre sulla chiavetta). In questo modo, se il drive USB viene inserito in un’altra macchina Windows, il sistema eseguirà il file autorun.inf, che apparentemente contiene solo caratteri casuali: in realtà, ben nascosta, è presente anche una riga con l’istruzione OPEN= che eseguirà il file infetto mediante l’utility di sistema RUNDLL32.EXE e propagherà il worm sul nuovo ospite.
Qualche idea in ordine sparso su come prevenire l’infezione: aggiornare il sistema operativo con la fix già citata e verificare che l’antivirus sia recente, stia funzionando correttamente e disponga delle ultime impronte disponibili; sulla rete, utilizzare cartelle condivise solo con password non banali; stesso discorso per gli account degli utenti, forzare l’utilizzo di password robuste; controllare la presenza di account bloccati, perché potrebbe essere un indicatore di un’infezione in atto; se possibile, rinominare l’account di Administrator del dominio in modo non-standard per far sì che non sia facilmente indovinabile dal worm; se utilizzate un personal firewall, configurarlo in modo che soltanto i servizi e i tipi di connessione assolutamente necessari siano permessi e gli altri siano vietati (il modo dipende dai vari produttori); se avete un prodotto di sicurezza che limita l’uso delle chiavette USB, forse è arrivato il momento di imporre una policy restrittiva.
Sicuramente mi sarò scordato qualcosa, se avete altri suggerimenti postateli nei commenti: ho volutamente tralasciato cose più impegnative tipo controllare che il processo svchost.exe non sia stato “iniettato” con il processo del worm, perché è una verifica che richiede tool specifici e qualche conoscenza in più della media (e probabilmente se avete queste nozioni, non vi servono i suggerimenti di un tecnico praticone come me).
Se avete già uno o più sistemi infetti su una rete, armatevi di pazienza: molti produttori di antivirus hanno già reso disponibili tool di disinfezione oltre ai normali aggiornamenti. Controllate (da una macchina pulita o da una che abbia un sistema non Windows) il sito del vostro antivirus preferito e cercate il nome di questo worm per trovare le informazioni che vi servono. Dovrete quasi certamente isolare le macchine infette dalla rete, prima di procedere alla disinfezione: se potete staccare il cavo di rete, tanto meglio, altrimenti verificate se potete farlo con un personal firewall o con un altro meccanismo tipo NAC o simili. Comunque è bene che la macchina sia scollegata prima di procedere con il tool o con l’antivirus: non sto a consigliarvene uno in particolare perché non sarebbe corretto, dato che lavoro per un Distributore di prodotti di sicurezza.
Update: vedo che molti arrivano a questa pagina cercando tool o procedure di disinfezione, quindi in base a quello che ho trovato e alle segnalazioni che ricevo via mail o eventualmente qui sul blog, aggiungo via via qualche link in fondo alla pagina. In ordine sparso e senza preferenze (Franza o Spagna…)
Se la disinfezione ha successo, aggiornate il sistema con la fix il prima possibile. Prima della disinfezione, potrebbe essere una buona idea cambiare le password “deboli”, in modo da prevenire una re-infezione nel momento in cui le macchine tornano in rete.
Al momento in cui scrivo, molti Vendor stanno aggiornando continuamente i loro strumenti e le schede descrittive del worm: prima di procedere a qualunque tentativo di disinfezione, leggete tutte le istruzioni che il Vendor pubblica. Ricordate soprattutto, quando cercate informazioni sui siti dei diversi produttori, che questo worm può essere chiamato in diversi modi; so che è stupido, ma non esiste una vera nomenclatura ufficiale per i virus e ogni Vendor può usare quella che preferisce, l’unica regola non scritta è quella di non utilizzare il nome scelto dall’autore del malware stesso: giusto per non dargli la soddisfazione. In questo caso, probabilmente lo troverete classificato come Downadup, Conficker, Conflicker o Kido (di solito con il prefisso Win32. o W32. o Worm. a definire il tipo di malware o il suo formato eseguibile; e seguito da un identificativo di variante, es. AL).
Nota a margine, anche se è evidente: questo è un worm per gli ambienti di casa Microsoft, da Windows 2000 SP4 in poi: quindi i sistemi operativi diversi (Linux, BSD, MacOSX, Sun Solaris etc.) non sono interessati dal problema. Ovviamente però possono fungere da “deposito” per i file infetti se condividono degli share con Samba su reti con client Windows; non so se qualcuno abbia eseguito dei test per verificare se le versioni più vecchie di Windows siano vulnerabili o no a questo worm, quindi non ho informazioni riguardo a Win95/98, ME, NT eccetera.
Ok, questo è tutto quello che mi viene in mente per adesso: in caso di novità aggiornerò il post. Se state leggendo questa pagina e volete condividere informazioni utili con gli altri o correggere le imprecisioni che avrò sicuramente perpetrato, fate outing e lasciate un commento. Se avete creato voi stessi una procedura ottimale per rimuovere questo figlio di un worm da PC e reti, postate pure o indicate il link e molti ve ne saranno grati.
Riferimenti:
Microsoft
Link diretto al Malware Removal Tool di MS
McAfee
http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=153464
PC al Sicuro (contiene analisi molto dettagliata e link verso WebX)
http://www.pcalsicuro.com/main/2009/01/conficker-si-diffonde-nelle-aziende/
F-Secure (nel post del 6 gennaio c’è il link a un tool di rimozione)
http://www.f-secure.com/weblog/
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip (controllate comunque il loro blog per verificare se lo aggiornano)
Computer Associates
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
Symantec ha un tool che riporta le chiavi shell/open/command del registro ai valori di default (fate MOLTA attenzione quando lo usate, leggete tutta la documentazione fornita) e che potrebbe essere utile non solo in questo caso
http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99
Tool GMER (segnalato nei commenti da Lorenzo)
Update: il Rescue CD di Avira segnalato da Felix che quantomeno individua i file infetti
http://dlpro.antivir.com/down/vdf/rescuecd/rescuecd.iso
e una cosa che abbiamo notato io e i miei colleghi disinfettando un paio di sistemi. Per ripristinare la corretta navigazione sui siti bloccati dal worm, anche dopo la sua rimozione, è stato necessario riavviare a mano il servizio “Client DNS” prima di riuscire ad andare su quei server. Un altro collega mi ha fatto notare che probabilmente quel servizio si potrebbe anche disabilitarlo del tutto, se la cosa non penalizza troppo le prestazioni del sistema.
Update (9 gen – 18.11 ): è confermato che, nei casi in cui il Client DNS necessita di essere riavviato dopo la disinfezione per poter funzionare, oppure non funziona subito dopo l’avvio del sistema, è possibile anche disabilitarlo. Ok, magari molti lo sapevano già: io non ci avevo mai provato.
Fab's Weblog 
Come primo passo consiglio a tutti di utilizzare questa utility per capire se il vostro pc è infetto o meno.
http://www.gmer.net/gmer.zip
Grazie Lorenzo, ho inserito qualche link con istruzioni e procedure di rimozione e ho aggiunto la tua segnalazione: peraltro vedo che è uno strumento raccomandato anche da Microsoft, quindi sicuramente utile.
Di niente.
Complimenti per il post molto ben dettagliato e curato.
In questo link tutti gli alias del virus:
http://www.threatexpert.com/report.aspx?md5=2e8da5a55865a091864a4338ef4d2e44
Avira Rescue CD (http://dlpro.antivir.com/down/vdf/rescuecd/rescuecd.iso) riesce ad identificare la dll “farlocca”; purtroppo non fa altro…
Sintomo: non si aggiornava l’antivirus (avg free antivirus) nè era possibile collegarsi a siti “antivirali”
Procedura
Scansione con AVIRA rescue CD (grazie felix!)
Rilevamento file infetto:
[TR/Dldr.JLIW.6]/mnt/hda5/WINDOWS/system32/txkvwd.dll
Riavvio pc con cd UBUNTU 8.04.1 live desktop i 386.iso
Individuazione file e rinomina a “txkvwd.txt”
Apertura file con OPENOFFICE e cancellazione alcune pagine
salvare e poi cancellare.
Ora sembra “tutto normale”
Mi interesserebbe il parere di un esperto, grazie
Ciao carson, ma come mai hai dovuto cancellare alcune pagine prima di poter eliminare il file?
Altrimenti non si lasciava rimuovere?
Comunque da quel che capisco il file se n’è andato e i sintomi non ci sono più, quindi tutto ok (parere non da esperto, ma da pragmatico 😉 ): hai lanciato anche Windows Update in modo da eliminare la vulnerabilità?
Adesso dò un’occhiata al cd di Avira anch’io: confesso la mia ignoranza, non l’ho mai provato. So solo che di Avira molti parlano benissimo e nei test ha sempre punteggi alti.
Ciao a tutti lavoro per un azienda e siamo contaminati abbiamo circa 400 macchine infette tra cui sever abbiamo provato con Gmer e norman e altri tra cui Panda non lo vede, Live care disinfetta ma torna lo stesso anche dopo la pulizia!!!! solo che all’inizio erano attaccati alla rete e appena ripulivi e riavviavi la macchina il virus era di nuovo dentro abbiamo notato che anche con il pc aggiornato torna lo stesso ora abbiamo spento gli switch e ora stiamo pulendo le macchine una ad una con i vari programmi postati su forum di tutti i generi se avete qualche consiglio AIUTATECI sono 2 sere che facciamo mezzanotte e Abbiamo l’ufficio fermo
Per ora posso dirvi che:
– La dll “farlocca” NON E’ il virus, ma uno dei suoi componenti. Eliminarla è necessario ma non sufficiente;
– Di sicuro questo virus si trasmette attraverso le condivisioni di aree disco CON DIRITTI DI AMMINISTRAZIONE. E’ quindi necessario eliminare questa tipologia di accessi prima di tentare di rimuoverlo. Tenete presente che nella mia azienda (qualche centinaio di server infetti) sono state rimosse TUTTE le condivisioni di qualsiasi natura, quale misura precauzionale (vi lascio immaginare con quali conseguenze).
A più tardi per un aggiornamento, vado a sperimentare sul server nel mio ufficio.
@Giuseppe: credo che l’unico modo sia bloccare gli share, staccando fisicamente le macchine dalla rete o bloccando il servizio Server fino alla ripulitura della rete, oppure con un personal firewall. Altrimenti con così tante macchine infette, è matematico che il worm si ripresenta.
Tra l’altro: ho ricevuto ieri sera una mail dal supporto di F-Secure (mi dispiace per la pubblicità indebita) che mi diceva che oggi faranno un update del tool f-downadup aggiungendo un paio di feature tra cui la disabilitazione temporanea degli share intanto che la disinfezione è in corso. Non so esattamente quando sarà rilasciato, appena ne so qualcosa di più lo segnalo qui sul blog.
“Downadup sfrutta una vulnerabilità di Windows nota come MS08-067: la fix di Microsoft è già stata resa disponibile nella stessa pagina di descrizione e tramite Windows Update, ma molte aziende erano chiuse in questi giorni e potrebbero non aver aggiornato i propri sistemi.”
AHAHAHAHAHAHAH
Il bulletin MS08-067 e’ stato pubblicato il
2 3 O t t o b r e 2 0 0 8 !!!
Vedi:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Forse molte aziende non sanno che Windows e’ abbastanza bucato, e va aggiornato regolarmente 😉
Il virus ha avuto una finestra temporale molto lunga, dato che dal bulletin di fine Ottobre e’ uscito solo a fine Dicembre.
Ma in 2 mesi hanno fatto un ottimo lavoro, non c’e’ che dire 😛
@Rev_Eng: purtroppo per molte aziende non è questione di pigrizia o ignoranza, il fatto di essere lenti ad applicare un update (e questo per giunta era un out-of-band, quindi non programmato). Vedo presso molti clienti che le procedure di roll-out dei sistemi e degli aggiornamenti seguono dei criteri “da secolo scorso”, quindi test, contro-test, approvazioni etc. Tutte ottime norme di buon senso, ma probabilmente ormai obsolete o inapplicabili.
…forse ci siamo…
Doverosa premessa: non pretendo di aver trovato la soluzione al problema, e se anche fosse, non so se è perfettamente applicabile oltre al caso specifico. Comunque ecco quanto.
Il srv in questione è un modesto PIII 512M con a bordo WS2003, con l’unico scopo di tenere in vita un paio di RAID sui quali poggiano una trentina di share.
– Scollegare il srv dalle reti;
– Eseguire il reboot del srv ed accedere come amministratore locale (1);
– Eseguire il file GMER.EXE (2);
– Se compare il servizio srvchost modificato (il nome del servizio farlocco viene evidenziato come stringa alfanumerica in rosso), alla fine della scansione selezionarlo col tasto dx e disabilitarlo; nelle righe sottostanti viene anche citata la dll farlocca a cui fa riferimento;
– Riavviare il srv e riaccedere come amministratore;
– Aprire cmd e dare il comando SC DELETE nome_servizio_farlocco ;
– Riavviare e riaccedere;
– Verificare sempre con GMER che il servizio farlocco non compaia più;
– Cliccare su Start->All programs -> Accessories -> System Tools -> Scheduled Tasks;
– Se compaiono tasks del tipo:
task Atn (n=numero) e su Run è indicato RUNDLL32.EXE stringa_a_casaccio , sono infetti: cancellateli;
– Se non ci sono tasks, o c’erano solo infetti, cliccate su Start -> Administrative Tools -> Services , fate tasto dx su Task Scheduler e cliccate su STOP, rifate tasto dx su Task Scheduler, cliccate su Properties, e assegnate lo Startup Type: DISABLED;
– Non preoccupatevi di cancellare la dll farlocca, tanto non riuscirete a cancellarla neanche in safe mode; o fate come dice Carson, bootando per esempio da Ubuntu, oppure la lasciate lì, che tanto verrà schifata da tutto il resto della partizione che contiene il SO (vedi nota 1);
– Dotatevi di un antivirus che, almeno, riconosca il virus (3);
– Installatelo;
– Ricollegate il srv alla rete;
– Aggiornate l’antivirus;
– Eseguite Windows Update: se WU non riesce a partire perché alcuni servizi sono stati bloccati dal virus, vi compariranno istruzioni su cosa dovete fare;
– Completate Windows Update;
– Ri-scollegate il srv dalla rete, fate reboot e riaccedete come amministratore;
– Fate partire una scansione più onnicomprensiva possibile, bloccate l’accesso e andate a meritarvi il giusto riposo (oh, dipende dalla grandezza dei dischi, eh, potrebbe essere necessaria solo una pausa caffè);
– Ritornate a controllare e, se non c’è traccia di nulla, ricollegate il srv alla rete e avvisate l’utenza:
1) della buona notizia;
2) del fatto che il primo untore verrà crocifisso in sala macchine (a testa in giù).
Note:
1) Le buone regole del bravo amministratore:
– l’amministratore non si chiama administrator; trovate un altro nome;
– trovate una psw originale, facile da ricordare ma per niente ovvia;
– ambedue le informazioni devono essere condivise tra persone fisiche, ma ricordate che una è poca e due sono troppe (tanto non c’è gloria, ci si ricorda dell’amministratore solo quando ci sono guai, mai quando tutto va bene);
– gli amministratori sono GLI UNICI a poter accedere alla partizione che contiene il SO; al limite possono autorizzarvicisi anche con la loro login di dominio (che non serve a nulla col srv offline). Tutto il resto di share, dati e ciarpame vario sta su altre partizioni, su cui le autorizzazioni devono essere concesse dopo novene di suppliche.
2) Il file GMER.EXE : non so voi, ma il sito http://www.gmer.net mi risulta irraggiungibile, forse a causa dell’elevato numero di contatti. Quella che ho io è la rel. 1.0.14.14536 ed è di 811.008 byte. Non vi consiglio di scaricarla da altri siti, meno che mai via p2p. Se non la trovate, Fabrizio, se vuole, può contattarmi al mio indirizzo email;
3) L’antivirus, il punto dolente. La mia azienda ha un contratto con Symantec, di cui utilizziamo la rel. 10.1.6.6000 (scelta forse discutibile, ma non è mia e comunque OT qui), non è free. Curiosa situazione in cui non conosco antivirus free che debellino o almeno identifichino Conficker; cosa che darebbe adito ad altre considerazioni anche queste OT.
Per finire, non è tutta farina del mio sacco, anche perché ci stiamo lavorando, tra colleghi e collaboratori, da almeno una settimana. Sperando di aver fatto qualcosa di buono, un salutone a tutti.
—
Fx
Ciao Felix, confermo quanto da te detto e fatto. Mi sono fatto capodanno in ufficio e la soluzione data da te è stata quella che avevo usato anche io e che mi ha salvato. Tuttavia sono andato molto a tentativi e facendo prove prima su PC di poca importanza fino ad arrivare ai server.
Tuttavia io ho cancellato direttamente il servizio con gmer (versione uguale alla tua) ma sono stato fortunato che dopo la cancellazione non ci sono state altre rigenerazioni del virus (probabilmente dovuto a password non banali degli utenti amministratori alcune delle quali resettate prima della disinfezione).
Non so se sia dovuto a quanto segue, ma io ho prima cancellato la chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer e il file a cui puntava usando “The avenger” (con kill prima del processo “explorer” che mi chiudeva “The avenger”), poi ho riavviato la macchina e usato gmer cancellando i processi nascosti, poi riavviato la macchina facendo attenzione a riavviare i servizi bloccati manualmente. Usando questa procedura sono riuscito a fare una buona pulizia.
Felix e Ilario, intanto grazie a nome di tutti per i dettagli che avete fornito: mi chiedevo, in riferimento alla domanda di Giuseppe (ossia come operare su tante macchine contemporaneamente), se fermare il servizio Scheduler _come prima cosa_ attraverso una Group Policy su tutte le macchine possa rallentare la propagazione del worm. Sappiamo che una macchina infetta comunque copierà la DLL sullo share Admin$ delle altre macchine, ma queste non la manderebbero in esecuzione. Non avremmo un sistema pulito, ma intanto avremmo rallentato la diffusione.
Ci sarebbe ancora il problema dell’exploit via http ma la fix potrebbe essere diffusa via SUS o SMS.
“purtroppo per molte aziende non è questione di pigrizia o ignoranza, il fatto di essere lenti ad applicare un update (e questo per giunta era un out-of-band, quindi non programmato). Vedo presso molti clienti che le procedure di roll-out dei sistemi e degli aggiornamenti seguono dei criteri “da secolo scorso”, quindi test, contro-test, approvazioni etc. Tutte ottime norme di buon senso, ma probabilmente ormai obsolete o inapplicabili.”
@fabc68:
per me è un po’ un controsenso dire che non una questione di ignoranza e poi asserire che i criteri di validazione in uso sono obsoleti.
Inoltre, proprio un aggiornamento non programmato non dovrebbe far drizzare le orecchie di più?
Ed in generale: è meglio rischiare di vedere una schermata blue a seguito di un update o di prendere un malware? La prima possibilità mi sembra meno probabile della seconda e di solito con un memory dump posso almeno richiedere ad uno dei produttori coinvolti di darmi assistenza ma se prendo un malware con chi me la prendo?
@Peppe
Purtroppo la tua considerazione è vera solo in parte. Molte occasioni hanno invece consigliato prudenza nell’applicare anche dei banali update. Tieni presente che esistono realtà (dove lavoro) che superano il numero di 10.000 (diecimila) clients, e che gestire un blue screen anche su una minima parte di essi, capirai bene, richiede un approccio non banale. Abbiamo un, per così dire, ufficio “validazione” delle frequenti patch MS, che deve garantire *in tempi ristrettissimi* la funzionalità di una miriade di applicazioni anche vetuste. Tempi che, purtroppo, possono essere fatali. La “zero tolerance” è, ancora, purtroppo, un utopia, almeno in realtà così complesse. La virtualizzazione è una via, ancora forse troppo immatura, per la soluzione.
@Felix:
Purtroppo il Downadup sta colpendo anche tante piccole e medie imprese con meno di 1000 clients che dovrebbero essere più gestibili di quelle da più di 10.000 macchine. Concordo sulla validazione degli aggiornamenti del sistema operativo da parte delle aziende ma due mesi di ritardo si sono rivelati fatali e, come diceva fabc68, di mezzo ci sono procedure ormai obsolete.
Anche l’aggettivo “vetusto” da te usato per le applicazioni in circolazione, secondo me, sottintende una negligenza… è stato l’utente a non aggiornare l’applicazione o il produttore a non tenere il passo con i tempi?
Ragazzi dopo giorni di Pulizie con gmer downadup
e scansioni con windows live care che fino ad oggi era l’unico che lo riconosceva e lo eliminava una buona notizia il Panda Antivirus che abbiamo lo riconosce e lo elimina quindi il rischio di contagio e limitato a zero e le policy che abbiamo adottato sono veramente ferree abbiamo bloccato tutti i portatili e pennette usb ora abbiamo una sotto rete 192.168 ecc ecc che ci permette di pulire le macchine ancora infette cmq stiamo risolvendo se vi serve qualche consiglio gfenu.guest@formez.it
P.S. dimenticavo noi avevamo macchine aggiornatissime e pure è passato lo stesso cmq pandino funziona bene!!!!!
Pero’ anche questa sera si è fatta 1.00 al lavoro a pulire Buonaserata a tuttie grazie per i consigli
@Giuseppe:
mi fa piacere che tu abbia trovato la strada giusta per contenere l’infezione.
Certo la falla di Windows non era l’unico punto di accesso usato dal malware, occorre aggiungere le password deboli e l’autorun.inf.
Inoltre non hai specificato se avevi mandato o no un campione del malware che ti sei beccato al produttore del Panda. Il Downadup.B ha svariate sotto-varianti…
@Giuseppe:
quando menzioni “gmer downadup” intendi una versione particolare di Gmer ?
La mia esperienza: su un parco macchine che già montavano F-Secure 8 siamo riusciti ad arginare parzialmente il problema utilizzando Gmer in abbinamento a FSMRT, un tool specifico rilasciato da F-Secure (http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml).
Dico parzialmente perchè la cosa sembra funzionare solo sui PC, mentre i server sono tuttora recidivi 😦
@GeorgeOnLine: hai provato a usare anche f-downadup, l’altro tool di FSC (sempre scaricabile da quella pagina)? Loro consigliano di provarli entrambi, nel caso uno solo dei due non riesca a risolvere. Io in effetti ho usato più spesso questo, piuttosto che fsmrt.
fabrizio
@fabc68
Si, l’ho naturalmente provato, in diverse macchine e situazioni, ma l’impressione è che sia… acqua fresca.
Stasera uno dei distributori di questo antivirus mi ha consigliato di utilizzarlo dopo aver disabilitato i servizi Server e Client DNS e riavviata la macchina, ma onestamente non so valutarne l’utilità. Lo proverò.
Sui sistemi server in ogn i caso entrambe i tools sono assolutamente impotenti !
Update ( 20/01/09 ): i tool F-Secure sono stati aggiornati
@GeorgeOnLine: spero di poterti dare qualche informazione utile, mi sono fatto spiegare dagli analisti di F-Secure (bombardandoli di mail) come funzionano nel dettaglio i tool. Ti riassumo la loro risposta:
I file vengono scanditi con i motori AVP+Hydra (in FSMRT) o con Hydra+un modulo euristico (in F-Downadup). Il tool apre i file che sono stati protetti con le ACL dal worm e li scandisce. Se il motore Hydra non rileva nulla, F-Downadup considera i file come nuove varianti (dopo aver effettuato dei controlli per escludere che siano falsi positivi). Dopo, esamina i processi in memoria e alcune aree specifiche del sistema, per poi effettuare una mini-scansione (analizzando i file in Windows e la cartella di Sistema di Windows, più altre destinazioni, sempre prefissate).
Se viene trovata un’infezione attiva (in memoria), il tool si installa come servizio, si copia sul disco e riavvia automaticamente il sistema. Dopo il riavvio e prima che l’utente si logghi, scandisce e rimuove le infezioni rimanenti.
Il tool non scandisce tutto il disco, non rimuove i task schedulati e non rimuove le voci di registro protette da ACL create dal registro. Queste funzionalità verranno inserite nelle prossime versioni.
Per abilitare la modalità di disinfezione in F-Downadup, occorre aggiungere l’opzione “–disinfect” dalla riga di comando.
Questo è quanto mi hanno detto. Per il discorso di fermare i servizi Server e ClientDNS, direi che corrisponde a quello che anche altri qui hanno scritto: fermando Server si disattivano gli share di rete, impedendo la re-infezione se ci sono altre macchine infette, fino alla pulizia della rete; fermando ClientDNS si ripristina il funzionamento della risoluzione DNS e l’host torna a navigare correttamente.
Spero che queste informazioni ti possano essere utili: fammi sapere se ti posso aiutare in qualche modo.
Siamo stati attaccati da Downadup.B e stiamo aggiornando i nostri server e i nostri client.
Vorrei sapere con quale criterio il worm individua le utenze da utilizzare per accedere alla condivisione admin$ e successivamente diffondersi.
Ti ringrazio fin da ora per il tuo aiuto.
Marco
@Marco: AFAIK prima di tutto il worm cerca di usare l’utente della macchina che ha già infettato per collegarsi allo share di una seconda macchina. Se questo non va a buon fine (es. perché quell’utente non ha privilegi sufficienti per scrivere sullo share), si fa dare direttamente dalla macchina-bersaglio una lista di utenti validi usando l’API di sistema NetUserEnum. Quindi prova a loggarsi usando quei nomi e una lista predefinita di password. Questo almeno è il comportamento delle varianti principali e quello osservato più spesso ITW: ed è la ragione per cui sulle reti infette, gli account di molti utenti vanno in lock-out, come conseguenza dei tentativi falliti di logon da parte del worm.
Questo è quello che so, spero che possa servirti: come sempre, se qualcuno ha informazioni più precise o ha avuto esperienze diverse con questo worm e vuole condividerle con tutti, è più che benvenuto, anzi benemerito 🙂
AFAIK,
Grazie dell’informazione.
Però c’è qualcosa che non mi quadra.
In azienda è in corso una migrazione a windows XP e diversi utenti di AD che sono stati bloccati (locked out) non sono stati ancora attivati e non hanno mai utilizzato la loro utenza. Non appartengono quindi a nessun gruppo AD e la loro utenza non dovrebbe essere presente su alcun server.
Il sospetto è che la macchina target è il nostro controllore di dominio. È così?
Abbiamo inoltre notato che in una macchina, nonostante abbiamo eliminato il worm ed applicata la patch Microsoft, ci ritroviamo sotto SVCHOST una marea di RUN32dll.exe attivi che creano problemi di performance al servizio erogato.
Grazie ancora
@Marco: probabilmente hai ragione, una macchina infetta deve aver attaccato il server di AD che le ha gentilmente fornito la lista degli utenti. Ma l’informazione importante da avere sarebbe: qual è la macchina attaccante? Sicuramente loggare gli accessi in Windows potrebbe fornire questo dato, ma non so quanto sia complesso isolare l’informazione che interessa da tutto il resto.
Per dare un’occhiata a quei processi che vengono creati in svchost e vedere a chi appartengono, se sono protetti da Rootkit etc. potresti usare Gmer (linkato in questa pagina) oppure Process Explorer di Sysinternals. Tieni presente comunque che dopo aver applicato la patch la macchina è immune all’exploit, ma può ancora essere infettata via share o usb: quindi la re-infezione è possibile se l’antivirus per qualche motivo non ti ferma il worm.
Anche la nostra azienda è stata attaccata. Non ci è chiaro il meccanismo con cui il worm si propaga da una macchina all’altra. E’ stato detto che una volta penetrato in una macchina esso si propaga sfruttando le condivisioni. Come è possibile che nella nostra rete sono state trovate macchine infette che non hanno condivisioni esplicitamente definite oltre alle condivisioni amministrative (nascoste)?. Se il worm utilizza le condivisioni amministrative nascoste, ad esempio ADMIN$, come fa ad attivarle? Dovrebbe risalire al nome o all’indirizzo IP delle macchine che vuole raggiungere. Sbaglio?
@Aldo: a differenza di molti altri worm, Conficker non scandisce semplicemente dei blocchi di indirizzi casuali. Invece usa la funzione NetServerEnum per farsi dare la lista delle macchine presenti nel dominio: poi prova ad accedere ai loro share di sistema, aspettandosi di trovarli raggiungibili. Anche se le macchine non esportano condivisioni, sono comunque presenti nell’elenco dell’AD o del dominio (come quando esegui “net view /DOMINIO” dal prompt dei comandi) quindi il worm ne vede i nomi e può cercare di contattarle.
Ovvio che stiamo sempre parlando in generale della variante più nota: magari qualche altra versione potrebbe comportarsi in maniera diversa.
Grazie per la risposta, fabc68. Ciao!
Excellent pieces. Keep writing such kind of info on your site.
Im really impressed by it.
Hello there, You have performed a great job. I’ll certainly digg it and personally recommend to my friends. I am sure they will be benefited from this site.
I personally blog likewise and I am writing something very close
to this post, “Downadup (alias Conficker): il primo worm dellanno |
Fabs Weblog”. Do you really mind in cases where I actuallymake use of several of your own suggestions?
Thanks -Alexander
I used to be suggested this website via my cousin. I
am no longer certain whether this publish is written via him as no one else understand
such distinct approximately my problem. You are incredible!
Thanks!