Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

Sicurezza - Aggiornamento riguardo al Worm
Win32/Conficker.B
[Ultimo aggiornamento 14 Gen 2009 - 8:05]
In questo periodo abbiamo identificato una nuova variante del virus Conficker.
Il virus inizialmente attacca i sistemi che non hanno installato l’aggiornamento di sicurezza MS08067 e, una volta infettato il sistema, proverà a diffondersi utilizzando degli attacchi di tipo “brute
force”.
Questo tipo di attacco cercherà di crackare le password degli altri sistemi e, una volta entrato, lo
infetterà.
Per maggiori informazioni riguardo alla vulnerabilità e al bollettino correttivo MS08-067, fate
riferimento al post di Feliciano Intini.
Di seguito vediamo i sintomi e i principali metodi per mitigare il diffondersi dell'infezione.
Sintomi
I principali sintomi sono:





Molti / Tutti gli account utente e amministratore iniziano ad essere bloccati.
Per ottenere maggiori informazioni riguardo agli account bloccati è disponibile l'Account
Lockout Tools.
Alcuni servizi fondamentali sono arrestati o disabilitati
Non è possibile accedere ai siti internet di Windows Update e dei principali software
antivirus
In alcuni casi il server può riportare degli errori legati a SVCHOST
Presenza di un task schedulato nella cartella %windir%\Tasks come indicato di seguito (il
nome del processo è random)
Task Scheduler
At1.job
rundll32.exe vvrwa.m
1c6853e9b25326fbf64f1112a38775a9 (MD5)
f48bd378dbae8d0f00912c31206b236a9bdf4261 (SHA-1)
Ad oggi, Microsoft e le altre società antivirus hanno identificato questo tipo di attacco malware
come indicato al sito Microsoft Malware Protection Center.
Verificate le informazioni presenti nel link indicato sopra per poter analizzare il modo utilizzato
nella diffusione dell'infezione.
Inoltre è possibile che il sistema sia infettato da una diversa variante del virus: verificate sempre al
sito Microsoft Malware Protection Center
Rimozione
Il modo migliore per rimuovere il virus è utilizzare l'Antivirus installato nel sistema in quanto
riduce i tempi di scansione e permette di limitare le reinfezioni.
In caso non sia rilevabile, si può utilizzare la versione Online di Windows Live OneCare Safety
scanner oppure il tool standalone Microsoft Malicious Software Removal Tool disponibile
gratuitamente ed entrambi in grado di rilevare e rimuovere il virus e le sue varianti.
L'ultimo modo di rimozione, consiste in quello manuale come riportato di seguito:
1. NON loggarsi nei server con utenza di dominio se possibile, specialmente NON come
Domain Admin. Utilizzare un utente locale.
Il malware impersona l’utente loggato interattivamente e accede alle risorse di rete usando
queste credenziali.
2. Arrestare il servizio "Server" e "Task Scheduler" = questo rimuove la share Admin$ dal
sistema in modo tale che il malware non possa diffondersi tramite questo metodo.
Da notare che è fatto solo temporaneamente, specialmente nei server di produzione nei quali
sarà impattata la disponibilità dei servizi di rete.
3. Caricare manualmente l'aggiornamento di sicurezza MS08-067
4. Cambiare tutte le password degli amministratori locali e di dominio utilizzando
password complesse come indicato in questo articolo = Enforcing Strong Password Usage
Throughout Your Organization
5. Avviare regedit e selezionare la seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SvcHost
Nella sezione di destra, aprire netsvcs per vedere la lista dei servizi:
6. Nell'elenco dei servizi presenti, selezionare l'ultima voce della lista.
Se il server è infettato, sarà presente un nome random come quello illustrato in figura
(gzqmiijz in questo esempio):
7. Rimuovere la entry del virus (assicurati che ci sia una riga vuota sotto l'ultimo servizio
valido)
8. Modificare i permessi della chiave di registry SVCHOST in modo che non possano essere
cambiati.
9. Spostarsi nella seguente chiave di registry, fare click con il tasto destro del mouse e
selezionare "Security":
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Svchost
10. In "Permissions", selezionare il pulsante "Advanced"
11. In "Avanzate", selezionare il pulsante "Add"
12. In "Select User, Computer or Group" inserire "Everyone" e premere il pulsante "Check
Names"
13. In "Permission Entry", cambiare l'impostazione "Apply onto" con il valore "This key only"
In corrispondenza di "Set Value" attivare "Deny"
14. Selezionare "OK" e nuovamente "OK"
15. All'avviso di sicurezza, selezionare "YES"
16. Selezionare "OK"
17. Ora che si conosce il nome del servizio utilizzato dal malware, selezionare la seguente
chiave di registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%BadServiceName%
Nel nostro esempio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
18. Fare click con il tasto destro del mouse sulla chiave del servizio utilizzato dal malware e
seleziona "Permissions"
Nota: con Windows 2000 Server è necessario utilizzare Regedt32 per modificare le
permissions
19. In "Permissions", selezionare il pulsante "Advanced"
20. Selezionare entrambi le seguenti opzioni e fare click sul pulsante OK:
+ Inherit from parent the permission entries that apply to child objects...
+ Replace permission entries on all child objects…
21. Fare refresh della visualizzazione premendo su F5 per poter modificare la DLL utilizzata dal
servizio
22. Modificare la chiave rinominando il file da DLL a BAD
23. Potrebbe esserci una voce nella seguente chiave di registro che avvia il malware e che deve
essere rimossa
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
24. Controllare in ogni disco del sistema la presenza di un file "Autorun.inf", aprirlo con
notepad e verificare che contenga delle righe simili all'esempio seguente:
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
25. Cancellare il file "autorun.inf" se non valido
26. Riavviare il server
27. Spostarsi nella cartella dove è presente il malware (es. "%SystemRoot%\Sysmte32\")
28. Modificare i permessi sul file impostando "Full Control" per "Everyone"
29. Cancellare il file (es. "%SystemRoot%\Sysmte32\emzlqqd.dll")
30. Abilitare i servizi BITS e Automatic Updates attarverso Services.msc
31. Rimuovere tutti i task schedulati dal malware dalla cartella %windir%\Tasks con il comando
AT /Delete /Yes
32. Abilitare la visualizzazione dei file nascosti e di sistema con il seguente comando:
reg.exe add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidd
en\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
33. Disattivare l'Autorun per ridurre la re-infezione lanciando il seguente comando:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
NoDriveTypeAuto /t REG_DWORD /d 0xff /f
NOTA: Seguite questo articolo How to correct "disable Autorun registry key" enforcement
in Windows
34. Se il server è reinfettato, verificare che tutti i job schedulati siano stati cancellati (vedi punto
31) o i file autorun non sono stati rimossi correttamente (vedi punto 24)
35. Installare le ultime fix di sicurezza utilizzando Windows Update, WSUS, SMS, SCCM o
altri programmi di terze parti per gestire le patch.
Se si utilizza SMS o SCCM, è necessario riabilitare il servizio "Server" altrimenti non sarà
possibile accedere al server da remoto.
36. Ci sono altri danni collaterali causati dal virus. Verifica nei link precedenti le informazioni
riguardo il virus Conficker.B
Posterò aggiornamenti in caso di modifiche o novità riguardo a questo virus.
Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platforms Support