(Ultimo aggiornamento: 27/04/2009)

Indice:

-{ Info sulla Minaccia
–{ Evitarlo
—{ Riconoscerlo
—-{ Rilevarlo
—–{ Rimuoverlo

In questi giorni nell’azienda per cui lavoro si è verificato un focolaio piuttosto proliferante del Virus Conficker, prevalentemente nelle forme B e B++.

Mentre risanavamo i pc del domino distribuendo il famoso tool MRT (Malicious Software Removal Tool) di Microsoft, ci siamo accorti che nel contempo stava accadendo qualcos’altro: nonostante i nostri sforzi stava proliferando una nuova, particolare versione del virus, molto più fastidiosa dei suoi fratelli ed apparentemente ancora sconosciuta su internet.

Non abbiamo potuto fare a meno di notare la differenza, visto che le canoniche procedure di pulizia (via MRT o FixDownadup) non si dimostravano più sufficienti: sui pc infetti infatti non era più possibile installare alcuni tipi di software (es. Unlocker, filemon, TcpView) nè tantomeno eseguire i software di pulizia già citati, i quali svanivano nel nulla un’attimo dopo essere stati richiamati.

Dopo esserci messi direttamente in contatto con McAfee, con la quale abbiamo collaborato fornendo una lunga serie di report (comprensivi anche di campioni autentici per l’analisi), la casa ci ha comunicato di essere gli scopritori di una nuova variante del virus Conficker!

Attualmente l’ultimo DAT disponibile sul sito di McAfee dovrebbe implementare il rilevamento di quest’ultima variante, come descritto in questa pagina (aggiornata ieri, 10 marzo: poche ore fa).

Come si Presenta il Worm

Considerando la questione da profano, questa variante non differisce molto dalle precedenti, nel senso che nella modalità di infezione mantiene fondamentalmente la sua classica configurazione:

prima fra tutte è la caratteristica di creare una copia di se stesso con l’attributo di file nascosto in c:\%windir%\system32\%nome_random%.dll .

Tale file ha permessi Everyone di sola esecuzione e in quest’ultima veste presenta una dimensione ricorrente di 86,016 bytes (contro i 165,600 della precedente B).

La libreria (come al solito) viene caricata da un servizio di sistema e sfrutta quindi il processo svchost.exe per nascondere la propria presenza.

Nella chiave netsvcs sotto HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost viene infatti iniettata una voce maligna che può assumere anche connotati di grande somiglianza con quelle default di Windows.

Come mi è capitato, potreste anche trovarvi di fronte ad una entry netsvcs fasulla TrkTime, facile da confondere con quella invece autentica TrkWks (Distributed Link Tracking Client service).

Come Riconoscerlo

Come ho già detto, questa variante si presenta in system32 con un file .dll avente una dimensione ricorrente di 86,016 bytes.

Altre dimensioni note sono: 103,936 bytes | 164,160 bytes | 157,479 bytes | 84,992 bytes (gen.D)

Questa caratteristica ci consente di verificarne velocemente la presenza grazie al comando dos

c:\> Dir /A:H c:\windows\system32\*.dll

l’attributo /A:H estrae solo i file invisibili contenuti nella cartella ed un pc pulito dovrebbe restituire il messaggio “File not found”.

Consiglio anche di tentare l’enumerazione dei file “marchiati” di sistema, in questo modo:

c:\> Dir /A:S c:\windows\system32\*.dll

Perchè il comando dos? perchè Conficker impedisce la visualizzazione avanzata dei file invisibili e di sistema.

Il file può avere anche determinati permessi di accesso come i soli SYNCHRONIZATION e FILE_EXECUTE per il gruppo Everyone. Per verificare usate il comando:

c:\> cacls c:\%windir%\system32\%nome_lib%.dll

Il conficker inoltre disabilita alcuni dei seguenti servizi:

• Aggiornamenti Automatici (wuauserv)
• Server
• Trasferimento intelligente in background (BITS)
• Centro Sicurezza PC (wscsvc)
• Servizio di Segnalazione Errori (ERSvc)

Con la apposita snap-in di windows potete controllare velocemente lo stato di questi ultimi: Start -> Esegui -> services.msc

Aggiornamento:

Da uno dei ragazzi del conficker working group, Joe Stewart, arriva anche un sito web (eye chart) che si propone di aiutare gli utenti meno esperti ad identificare questo virus sui propri pc:

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Ed ecco un secondo strumento per la verifica online scritto da Leder e Werner, basato sull’idea di Joe Stewart:

http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Come Rimuoverlo

Dal momento che non ci sarà possibile installare buona parte delle applicazioni di sicurezza (come quelle fornite da sysinternals), collegarci ai siti microsoft e a quelli delle varie case antivirus, ma nemmeno eseguire i vari tool di rimozione, dobbiamo ricorrere ad una piccola ma potentissima utility freeware chiamata “File & Folder Unlocker” disponibile a questo indirizzo. L’esecuzione di quest’ultima infatti non viene fortunatamente intercettata dal virus (e in qualsiasi caso basterebbe rinominare l’eseguibile “pippo.exe” in quanto il worm blocca i processi il cui nome contiene determinate parole).

Come suggerisce il nome, File & Folder Unlocker permette di ricercare tra i file in uso dai processi di sistema e di rilasciarli al volo. Nel nostro caso andremo a ricercare nell’apposito box il nome del file ostile trovato in System32, cliccando poi sulla corrispondenza restituitaci con il tasto destro e quindi su “Unlock Object”.

A questo punto, avendo rilasciato la libreria che intercettava tutte le nostre chiamate, saremo in grado finalmente di eseguire il uno dei tool elencati più avanti.

Aggiornamento:

Se rilasciare la libreria con F&F Unlocker non fosse sufficiente a far partire il software di pulizia, consiglio di cambiare innanzitutto i permessi del file in questo modo:

c:\> echo Y | cacls c:\%windir%\system32\%nome_lib%.dll /c /p Everyone:F

c:\> attrib -s -h -r c:\%windir%\system32\%nome_lib%.dll

Dopodichè cancellate il file, riavviate il sistema e utilizzate uno dei tool sotto elencati per la pulizia completa e la scansione delle le unità locali in quanto il virus si “copia” in cartelle come le temporanee e quelle di sistema (System Volume Information).

In aggiunta (come descritto più infondo) consiglio sempre l’utilizzo dei software, benchè in via di sviluppo, predisposti e condivisi da Ledner e Werner dell’Honeynet Project alla luce delle loro ultime scoperte.

Removal Tool Rilasciati Recentemente

• BitDefender: http://www.bdtools.net/
• Kaspersky: http://www.kaspersky.com/technews?id=203038750
• Enigma Software: http://www.enigmasoftware.com/support/conficker-removal/
• F-Secure: http://www.f-secure.com/weblog/archives/00001588.html
• Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
• Mcafee: http://service.mcafee.com/faqdocument.aspx?id=TS100621
• TrendMicro: http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip (necessita dei pattern aggiornati Ssapiptn.Da5 e lpt$vpn.XXX)
• Sophos: http://www.sophos.com/kb/54457.html
• Leder e Werner dell’università di Bonn: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Dopo la pulizia ricordatevi di eseguire comunque una scansione completa con il vostro software antivirus, ma in particolare controllate che nelle cartelle C:\System Volume Information\ (invisibile e di sistema), %TEMP%, c:\%programfiles%\Internet Explorer\, c:\%programfiles%\Movie Maker\ non ci siano più tracce del virus.

Come Proteggersi dalla diffusione

Dal momento che il virus si sta ultimamente diffondendo grazie alla sua caratteristica di infettare qualsiasi dispositivo esterno collegato al PC (chiavette usb, HD esterni, lettori Mp3 ecc..), la prima cosa sensata da fare è disabilitare la funzionalità di windows di interpretare i file Autorun.inf

Per farlo è sufficiente creare un file con estensione .REG contenente queste righe ed eseguirlo accettando le modifiche:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”

Oltre a questo è senz’altro importante:

- evitare l’utilizzo di password banali per l’utente amministrativo locale: leggete qui.

- evitare l’utilizzo di cartelle condivise con accessi Everyone in scrittura

- installare la patch di sicurezza disponibile nel Security Bulletin MS08-067

Informazioni e Approfondimenti sulla Minaccia

• Analisi approfondita di SRI International: http://mtc.sri.com/Conficker/
• Altra analisi da SRI,  dedicata a quest’ultima variante: http://mtc.sri.com/Conficker/addendumC/index.html
• Istruzioni per il rilevamento: http://www.cert.at/static/conficker/TR_Conficker_Detection.pdf
• Come si propaga: https://forums2.symantec.com/t5/Malicious-Code/Downadup-Locking-Itself-Out/ba-p/389837
• Tiny Honeypot: http://www.sans.org/reading_room/whitepapers/detection/enhancing_ids_using_tiny_honeypot_1665?show=1665.php&cat=detection
• Ripristino della modalità provvisoria sui pc infettati: http://blog.didierstevens.com/2007/02/19/restoring-safe-mode-with-a-reg-file/
• Rimozione Manuale e deployment su reti Microsoft (vedi: conficker_email_template): http://blogs.msdn.com/nickmac/archive/2009/01/14/malicious-software-removal-tool-removes-win32-conficker-b.aspx
• Il conficker si prepara per il primo di Aprile: http://community.ca.com/blogs/securityadvisor/archive/2009/03/11/new-conficker-variant-not-fooling-around.aspx
• F.A.Q. di F-Secure: http://www.f-secure.com/weblog/archives/00001636.html

Rilevamento delle Infezioni

Bisogna ringraziare Tillman Werner e Felix Leder, due ricercatori facenti parte dell’Honeynet Project, se adesso è possibile rilevare questo fastidioso worm con estrema facilità anche nelle grandi reti.

Ciò che hanno scoperto questi ragazzi non è altro che una piccola firma che il virus lascia sulle risposte a determinate chiamate RPC. Hanno trovato quella che possiamo definire l’impronta digitale del virus, caratteristica che rende ora estremamente semplici le procedure di rilevamento: è possibile infatti scovare le minacce presenti nella nostra rete in maniera del tutto anonima (nessuna autenticazione richiesta durante la verifica, ed è possibile farlo in qualsiasi rete o dominio), remota e sopratutto molto rapida.

Trovate comunque il rapporto dettagliato delle loro ricerche a questo indirizzo.

Come si fa a rilevarlo?

Vi rimando a fonti molto più autorevoli, dove troverete informazioni dettagliate rigorosamente in inglese:

Rilevazione con il tool Nmap, che incorpora nell’ultima versione le firme del virus pubblicate dal progetto Honeynet:

• http://nmap.org/nsedoc/scripts/smb-check-vulns.html
• http://www.net-security.org/secworld.php?id=7252
• http://www.net-security.org/software.php?id=1
• http://www.skullsecurity.org/blog/?p=209

Di seguito invece trovate il link all’articolo redatto dai due ricercatori sul sito dell’università di bonn. Qui sono disponibili non solo tool e script per il rilevamento, ma anche una serie di utility per la totale disinfezione (per esempio della memoria) degli host infettati dalle innumerevoli varianti del worm:

http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Aggiornamento:

E’ stata recentemente scoperta una tecnica che sfrutta il meccanismo p2p proprietario del virus al fine di rilevare gli host infetti dalle varianti C in su, in quanto quest’ultima è stata la prima ad incorporare tale meccanismo di aggiornamento. Lo script per Nmap è già integrato nell’ultima versione.

• http://www.skullsecurity.org/blog/?p=230 (New)