News - Malware & Hoax - TG Soft Cyber Security Specialist

24/09/2009
15:17

CONFICKER alias KIDO alias DOWNADUP - Come evitare che la rete sia abbattuta da questo temibile virus/malware

Il C.R.A.M. della TG Soft ha scoperto oltre 163 varianti del Trojan.Win32.Conficker. Per evitare che la rete venga abbattuta è necessario adottare alcuni approntamenti minimi che riteniamo utile segnalare.

Trojan.Win32.Conficker probabilmente uno tra i virus/malware più complessi da rimuovere degli ultimi anni.

Nel febbraio 2009 sono state segnalate infezioni del virus/malware Trojan.Win32.Conficker.AC anche se ad oggi sono state scoperte dal C.R.A.M. della TG Soft oltre 163 nuove varianti di questo temibile trojan. La variante maggiormente diffusa risulta quella denominata Trojan.Win32.Conficker.AR i cui file portatori sono di lunghezza anche molto diversa tra loro.

Questa famiglia di malware risulta essere particolarmente aggressiva poichè sfrutta delle vulnerabilità di Windows® e le condivisioni della rete locale.
Le vulnerabilità di Windows® sono state fixate da Microsoft con un aggiornamento reso disponibile dal 28 ottobre 2008.

Seppur trattandosi di un virus/malware di non semplice intercettazione, la difficoltà di rimozione non è tanto dovuta a questo ma a scelte di impostazione della rete locale che sono frutto di inesperienza e/o cattive pratiche.

Prevenire sempre meglio che curare

Gli approntamenti MINIMI da attuare che non possono essere rimandati/procrastinati per evitare che la rete locale possa essere abbattura da Conficker alias Kido alias Downadup:

procedere ad AGGIORNARE TUTTI i computer della rete (Client e Server!!!) almeno con gli aggiornamenti critici di sicurezza del S.O. collegandosi al sito di Windows® UpDate di Microsoft (Fare attenzione alla versione del sistema operativo!!!) e scaricando la:

patch MS08-067 KB958644.

RIATTIVARE, nel caso sia stato disabilitato, Windows UpDate di modo che ogni nuovo aggiornamento del S.O. venga scaricato in modo sistematico.
ELIMINARE la condivisione di file e/o cartelle di sistema tra i vari PC facenti parte della LAN. Assolutamente MAI condividere interamente gli hard-disk.
INSTALLARE ed aggiornare su TUTTI i computer di ogni rete Lan (Client e Server) Vir.IT eXplorer PRO di modo che TUTTI i computer siano presidiati dallo scudo residente Vir.IT Security Monitor che dovrà avere settato dal menu Opzioni --> Sezione File --> File Tutti (vedi immagini).

Menu opzioni

Impostazioni corrette

Basterà un solo computer dove non sia installato Vir.IT eXplorer PRO aggiornato e settato con l'Opzione/File tutti per rendere vulnerabile l'intera rete.
DOTARE ogni account di password NON banali. Infatti basta che una sola macchina venga infettata da Conficker/Kido/Donwadup e questa sarà il punto da cui si diffonderà l'infezione nella rete. In parole semplice è come se in un "fortino" si lasciassero uno o più accessi aperti, da qui potranno accedere uno o più nemici (ad es. uno o più varianti di Conficker) che saranno in grado di aggredire alle spalle le guardie (leggi l'antivirus).
RIDURRE al minimo l'uso di chiavette USB che sono tra i veicoli di diffusione pi comuni di Conficker. Infatti abbiamo verificato che sono proprio le chiavette USB usate per traspostare dati e/o programmi da un computer ad un'altro ad essere il principale veicolo di infezione e di re-infezione delle reta locale. La cosa migliore sarebbe quella di adottare fra le policy quelle di bandire l'utilizzo delle chiavette USB che, mai come in queste situazioni, sono un veicolo di diffusione di virus/malware.

I 6 (sei) punti indicati NON sono da ritenersi facoltativi. Basterà disattendere uno -ed uno soltanto- degli approntamenti indicati per rendere attaccabile la rete locale da Conficker/Kido/Downadup.

Utili informazioni sull'utilizzo consapevole degli antivirus e sul manutenzionamento di sicurezza dei computer sono state inserite, e vengono costantemente aggiornate, nel nostro sito C.R.A.M. --> HO PROBLEMI con VIRUS/MALWARE cosa DEVO fare ?

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Questo sito web utilizza i cookie
Utilizziamo i cookie per personalizzare la lingua, i contenuti e fornire funzionalità tecniche. NON vengono utilizzati per profilazione o rivendita a terze parti. Esistono delle pagine in cui sarà presente “Google reCaptcha”, anche in questo caso, il nostro scopo è unicamente quello di poter accertare la presenza di interazione umana e non di Bot automatici.

Necessari 5

I cookie necessari contribuiscono a rendere fruibile il sito web abilitandone funzionalità di base quali la navigazione sulle pagine. Il sito web non è in grado di funzionare correttamente senza questi cookie.

ASP.NET_SessionId [x2]
Preserva gli stati dell'utente nelle diverse pagine del sito.

Scadenza: Session

Tipo: HTTP

cookie_accettati [x1]
Memorizza lo stato del consenso ai cookie dell'utente per il dominio corrente

Scadenza: 1 anno/i

Tipo: HTTP

lang [x1]
Memorizza la lingua selezionata

Scadenza: 1 anno/i

Tipo: HTTP

ASPSESSIONIDxxxx
Cookie tecnico per la gestione delle interazioni con l'utente

Scadenza: Session

Tipo: HTTP

Necessari (per uso ed accesso ad aree specifiche) 2

Cookie necessario a rendere fruibile alcuni contenuti specifici quali: l'accesso alle aree protette del sito, l'invio di richieste o l'iscrizione alle newsletter. Le funzionalità specifiche di queste sezioni non saranno utilizzabili senza questo cookie.

_GRECAPTCHA [x1]
Necessario per verificare l'interazione umana.
Usato per inviare preventivi, accedere alle aree riservate e in tutti quei punti in cui la sicurezza è una componente fondamentale.

Scadenza: 6 mese/i

Tipo: HTTP

cookie_google [x1]
Flag di accettazione dei cookie reCAPTCHA Google

Scadenza: 6 mese/i

Tipo: HTTP

Accetta i Termini di servizio di reCAPTCHA:
Accedendo o utilizzando le API reCAPTCHA, accetti i Termini d'uso delle API di Google, i Termini d'uso Goodle e i Termini aggiuntivi di seguito. Si prega di leggere e comprendere tutti i termini e le norme applicabili prima di accedere alle API.

Termini di servizio di reCAPTCHA:
Riconosci e comprendi che l'API reCAPTCHA funziona raccogliendo informazioni hardware e software, come i dati del dispositivo e dell'applicazione e i risultati dei controlli di integrità, e inviando tali dati a Google per l'analisi. Ai sensi della Sezione 3(d) dei Termini di servizio delle API di Google, accetti che, se utilizzi le API, è tua responsabilità fornire gli avvisi o i consensi necessari per la raccolta e la condivisione di questi dati con Google.

Dati collezionati da reCAPTCHA:
L'algoritmo reCAPTCHA verificherà la presenza un cookie di Google (in genere _ga)
Se non presente, un cookie reCAPTCHA specifico verrà aggiunto al browser dell'utente e verrà catturata - pixel per pixel - un'immagine istantanea completa della finestra del browser dell'utente in quel momento.
Alcune delle informazioni su browser e utente raccolte al momento includono:
Tutti i cookie inseriti da Google negli ultimi 6 mesi
Quanti clic del mouse hai fatto su quella schermata (o tocco se su un dispositivo touch)
Le informazioni CSS per quella pagina
La data esatta
La lingua in cui è impostato il browser
Qualsiasi plug-in installato nel browser
Tutti gli oggetti Javascript

Menu opzioni
Impostazioni corrette

CONFICKER alias KIDO alias DOWNADUP - Come evitare che la rete sia abbattuta da questo temibile virus/malware

Prevenire sempre meglio che curare

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: