Comments on: Il Conficker si rinnova: nuova variante più aggressiva disabilita software di sicurezza http://www.bleakants.com/2009/03/conficker-nuova-variante-disabilita-software-di-sicurezza/ Informatica, Internet, News & Soluzioni Interessanti Fri, 10 Sep 2010 11:38:27 +0000 http://wordpress.org/?v=2.7 hourly 1 By: AndrewBoldman http://www.bleakants.com/2009/03/conficker-nuova-variante-disabilita-software-di-sicurezza/comment-page-1/#comment-102 AndrewBoldman Thu, 04 Jun 2009 23:25:16 +0000 http://www.bleakants.com/?p=422#comment-102 da best. Keep it going! Thank you da best. Keep it going! Thank you

]]> By: Tacu http://www.bleakants.com/2009/03/conficker-nuova-variante-disabilita-software-di-sicurezza/comment-page-1/#comment-72 Tacu Tue, 28 Apr 2009 22:15:38 +0000 http://www.bleakants.com/?p=422#comment-72 Salve Max, probabilmente le condivise sono inaccessibili perchè sui computer è ancora disabilitato il servizio Server. Il conficker infatti può disabilitare i seguenti servizi di windows: * Aggiornamenti Automatici (wuauserv) * Server * Trasferimento intelligente in background (BITS) * Centro Sicurezza PC (wscsvc) * Servizio di Segnalazione Errori (ERSvc) Normalmente lo stato (Tipo di avvio) di tali servizi dovrebbe essere "Automatico". Puoi verificare da Start -> Esegui, digitando "services.msc" Ti consiglio di eseguire il tool KKiller di Kaspersky e di installare le patch microsoft indicate qui: http://www.kaspersky.com/technews?id=203038750 Esegui anche i tool "conciller" e "regnfile" disponibili qui: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/ Fatto questo ti consiglio una scansione completa con il software antivirus in uso sui pc. Questo per verificare che non ci siano più tracce del virus nelle cartelle temporanee, di sistema o di restore. Infine, verifica che la password dell'utente Administrator non sia vuota e non sia presente in questa lista: http://www.sophos.com/blogs/gc/g/2009/01/16/passwords-conficker-worm/ Salve Max,
probabilmente le condivise sono inaccessibili perchè sui computer è ancora disabilitato il servizio Server.
Il conficker infatti può disabilitare i seguenti servizi di windows:

* Aggiornamenti Automatici (wuauserv)
* Server
* Trasferimento intelligente in background (BITS)
* Centro Sicurezza PC (wscsvc)
* Servizio di Segnalazione Errori (ERSvc)

Normalmente lo stato (Tipo di avvio) di tali servizi dovrebbe essere “Automatico”.

Puoi verificare da Start -> Esegui, digitando “services.msc”

Ti consiglio di eseguire il tool KKiller di Kaspersky e di installare le patch microsoft indicate qui: http://www.kaspersky.com/technews?id=203038750

Esegui anche i tool “conciller” e “regnfile” disponibili qui: http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Fatto questo ti consiglio una scansione completa con il software antivirus in uso sui pc. Questo per verificare che non ci siano più tracce del virus nelle cartelle temporanee, di sistema o di restore.
Infine, verifica che la password dell’utente Administrator non sia vuota e non sia presente in questa lista: http://www.sophos.com/blogs/gc/g/2009/01/16/passwords-conficker-worm/

]]> By: Max http://www.bleakants.com/2009/03/conficker-nuova-variante-disabilita-software-di-sicurezza/comment-page-1/#comment-71 Max Tue, 28 Apr 2009 21:35:39 +0000 http://www.bleakants.com/?p=422#comment-71 Ho scoperto che la mia rete è stata infettata dal virus conficker.b ... e tutti i pc infetti che hanno le cartelle condivise non sono più accessibili... Purtroppo ho scoperto ... e spero di sbagliarmi.. che pur rimovendo il virus le cartelle non sono ancora accessibili ... Come posso risolvere il problema ... Grazie Ho scoperto che la mia rete è stata infettata dal virus conficker.b … e tutti i pc infetti che hanno le cartelle condivise non sono più accessibili…
Purtroppo ho scoperto … e spero di sbagliarmi.. che pur rimovendo il virus le cartelle non sono ancora accessibili …
Come posso risolvere il problema …
Grazie

]]> By: Tacu http://www.bleakants.com/2009/03/conficker-nuova-variante-disabilita-software-di-sicurezza/comment-page-1/#comment-69 Tacu Tue, 31 Mar 2009 20:48:58 +0000 http://www.bleakants.com/?p=422#comment-69 Ciao Federico, ti ringrazio per il feedback. Alla luce delle ultime scoperte forse potrà interessarti il mio ultimo aggiornamento in questo post: puoi trovare informazioni e strumenti efficaci e veloci per il rilevamento della minaccia nella tua rete aziendale. Ciao Federico,
ti ringrazio per il feedback.

Alla luce delle ultime scoperte forse potrà interessarti il mio ultimo aggiornamento in questo post: puoi trovare informazioni e strumenti efficaci e veloci per il rilevamento della minaccia nella tua rete aziendale.

]]> By: Federico B http://www.bleakants.com/2009/03/conficker-nuova-variante-disabilita-software-di-sicurezza/comment-page-1/#comment-67 Federico B Mon, 30 Mar 2009 09:00:05 +0000 http://www.bleakants.com/?p=422#comment-67 ciao, la DLL è sempre la stessa, per ora. Purtroppo non siamo ancora riusciti a bloccare l'infezione del tutto. Usiamo Epolicy Orchestrator-McAfee, il nuovo DAT previene la diffusione (sebbene lo identifichi come Conflicker.B e non .C) ma purtroppo, essendo un ambiente eterogeneo, con vecchi server/wrk non tutti patchati, vari utenti che purtroppo riescono ad accedere con USBpen e altro, la situazione è difficilotta. I grossi problemi sono non sui W2003, ma sui Windows2000 server SP4, che sperimentano i vari "side effect" di questa infezione, poichè abbiamo una grossa foresta AD i DC stanno vacillando (ad esempio mi tocca effettuare spesso dei restart del servizio NETLOGON perchè la propagazione policy viene rallentata mostruosamente). Abbiamo anche una fastidiosa infezione collaterale (?), su questi W2000, di un fantomatico "Bo:stack", che sembra appoggiarsi a SERVICES.EXE (McAfee legge "SERVICES.EXE::LoadLibraryA"), il comportamento è da Buffer Overflow tant'è che il motore 8.5 blocca l'eseguibile con conseguenze ovviamente pesanti... ciao, la DLL è sempre la stessa, per ora.
Purtroppo non siamo ancora riusciti a bloccare l’infezione del tutto.
Usiamo Epolicy Orchestrator-McAfee, il nuovo DAT previene la diffusione (sebbene lo identifichi come Conflicker.B e non .C) ma purtroppo, essendo un ambiente eterogeneo, con vecchi server/wrk non tutti patchati, vari utenti che purtroppo riescono ad accedere con USBpen e altro, la situazione è difficilotta.

I grossi problemi sono non sui W2003, ma sui Windows2000 server SP4, che sperimentano i vari “side effect” di questa infezione, poichè abbiamo una grossa foresta AD i DC stanno vacillando (ad esempio mi tocca effettuare spesso dei restart del servizio NETLOGON perchè la propagazione policy viene rallentata mostruosamente).
Abbiamo anche una fastidiosa infezione collaterale (?), su questi W2000, di un fantomatico “Bo:stack”, che sembra appoggiarsi a SERVICES.EXE (McAfee legge “SERVICES.EXE::LoadLibraryA”), il comportamento è da Buffer Overflow tant’è che il motore 8.5 blocca l’eseguibile con conseguenze ovviamente pesanti…

]]> By: Tacu http://www.bleakants.com/2009/03/conficker-nuova-variante-disabilita-software-di-sicurezza/comment-page-1/#comment-66 Tacu Fri, 27 Mar 2009 15:56:17 +0000 http://www.bleakants.com/?p=422#comment-66 Sono contento che qualcuno abbia tratto vantaggio dalla mia esperienza ;-) Sei riuscito a pulire tutte le macchine? La dll era sempre di 86 bytes? Sono contento che qualcuno abbia tratto vantaggio dalla mia esperienza ;-)

Sei riuscito a pulire tutte le macchine? La dll era sempre di 86 bytes?

]]> By: Federico B http://www.bleakants.com/2009/03/conficker-nuova-variante-disabilita-software-di-sicurezza/comment-page-1/#comment-65 Federico B Fri, 27 Mar 2009 14:55:38 +0000 http://www.bleakants.com/?p=422#comment-65 il tuo post è stato preziosissimo. Anche dove lavoro io, ho avuto vari sistemi infettati, e confermo tutta la (ottima e bene documentata) procedura per la rimozione. Grazie per l'ottimo lavoro. il tuo post è stato preziosissimo.
Anche dove lavoro io, ho avuto vari sistemi infettati, e confermo tutta la (ottima e bene documentata) procedura per la rimozione.
Grazie per l’ottimo lavoro.

]]>