Come proteggersi dal worm Conficker
Si è fatto un gran parlare dei disastri che Conficker causerà il 1° aprile. Conficker, precedentemente denominato W32/Conficker.worm, ha iniziato a infettare i sistemi alla fine del 2008 sfruttando una vulnerabilità di Microsoft Windows. Da allora, McAfee ha rilevato altre due varianti di questo worm e molti file binari (pronti per essere caricati in memoria ed essere eseguiti) che contengono il payload dannoso. Conficker.C è la variante più recente. Il protocollo di "chiamata a casa" muterà il 1° aprile, e potrebbe prevedere un aggiornamento contenente alcune funzionalità fino ad ora sconosciute.
McAfee offre già la protezione dal worm Conficker nei suoi prodotti per endpoint e per reti e Microsoft ha emesso una patch di sicurezza per la vulnerabilità utilizzata dalla famiglia Conficker per propagarsi. Tuttavia, presso molti utenti c'è ancora preoccupazione riguardo alla possibile infezione. Le informazioni riportate di seguito forniscono ulteriori dettagli sul worm, sulle azioni da intraprendere per pulire un sistema infetto e sulle misure da adottare per evitare un'ulteriore infezione.
I sintomi di un'infezione di Conficker comprendono quanto segue:
- L'accesso ai siti relativi alla sicurezza è bloccato
- Gli utenti non possono accedere alla directory
- Il traffico viene inviato dalla porta 445 su server non di tipo Directory Service (DS)
- L'accesso alle unità condivise dell'amministratore viene negato
- I file Autorun.inf vengono spostati nella directory "recycled" o cestino
Metodo d'infezione
Conficker.C è la variante più recente del worm Conficker. L'esposizione a Conficker.C è limitata ai sistemi tuttora infetti dalle varianti precedenti (Conficker.A e Conficker.B), che sfruttano la vulnerabilità MS08-067 del servizio Server di Microsoft Windows. Se l'attacco va a buon fine, viene consentita l'esecuzione di codice remoto quando è attiva la condivisione di file. Conficker contrasta i tentativi di disinfezione creando delle operazioni pianificate e/o utilizzando dei file autorun.inf per riattivarsi.
McAfee ha identificato migliaia di codici binari che portano con sè il payload di Conficker. In base alla variante specifica, il worm può diffondersi tramite LAN, WAN, web o unità rimovibili, e sfruttando password elementari. Conficker disattiva diversi importanti servizi di sistema e prodotti di sicurezza e scarica dei file arbitrari. I computer infettati dal worm entrano a far parte di un "esercito" di computer compromessi e potrebbero essere utilizzati per sferrare attacchi a siti web, distribuire spam, ospitare siti web di phishing o effettuare altre attività dannose.
Rimozione
Si consiglia ai clienti di attenersi alla seguente procedura per rimuovere W32/Conficker.worm e impedirne la diffusione:
- Installare l'aggiornamento della sicurezza Microsoft MS08-067: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Pulire i sistemi infetti e riavviare
Utilizzare soluzioni antimalware come McAfee VirusScan Plus o ToPS for Endpoint per eliminare l'infezione. Utilizzare tecniche di rilevamento basate sui comportamenti, come la protezione da overflow del buffer, in Host IPS per prevenire infezioni future. Si tratta di un passaggio importante, perché Conficker può propagarsi attraverso i supporti portatili come le unità USB infette. Quando si accede al supporto, il sistema elabora autorun.inf ed esegue l'attacco. Per ulteriori informazioni, leggere il documento di McAfee LabsTM "Combating Conficker worm". - Individuare altri sistemi a rischio di infezione
È necessario individuare i sistemi che sono a rischio. In questa categoria rientrano i sistemi a cui non è stata applicata la patch contro la vulnerabilità Microsoft MS08-067 o che non sono dotati di controlli di protezione proattivi con cui limitare la vulnerabilità. McAfee Vulnerability Manager and ePolicy Orchestrator è in grado di individuare i sistemi vulnerabili e non protetti. - Ridurre la capacità di propagazione della minaccia
L'uso dell'IPS di rete nei punti strategici della rete permette di ridurre rapidamente la capacità di propagazione della minaccia. Ciò permette di avere tempo a sufficienza per aggiornare le firme antivirus dei client o di modificare i criteri in modo da bloccare la minaccia utilizzando i controlli dei comportamenti.
La copertura dei prodotti McAfee per il worm Conficker
| Prodotto McAfee | Copertura |
|---|---|
| McAfee VirusScan Plus McAfee Internet Security McAfee Total Protection |
I file di firma (DAT) più recenti comprendono le funzioni di rilevamento e di riparazione per questo worm. Se è stato eseguito un aggiornamento di recente, si è già protetti. |
| ToPS Endpoint and ToPS Service | I file di firma (DAT) comprendono le funzioni di rilevamento e di riparazione per questo worm. Si presume che la protezione dall'overflow del buffer nel motore di scansione e dall'overflow del buffer in Host IPS mettano al riparo dagli exploit mediante esecuzione di codice. Host IPS comprende anche la firma per "La vulnerabilità del servizio Server potrebbe consentire l'esecuzione remota del codice" (CVE-2008-4250) |
| Network Security Platform (IntruShield) | Comprende la protezione per "Vulnerabilità esecuzione remota codice nel servizio Server Microsoft" |
| McAfee Vulnerability Manager (VM) | Comprende la protezione per MS08-067. Individua le macchine vulnerabili all'infezione di Conficker e le macchine infette con Conficker C. |
| McAfee Web Gateway (precedentemente Webwasher) | Comprende la firma per il rilevamento e il blocco del worm sul gateway |
| McAfee SmartFilter | Fornisce informazioni di categorizzazione e reputazione per i domini associati al worm Conficker |
| Strumento McAfee per il rilevamento di Conficker | Individua i computer infetti da Conficker.C |
Strumenti per la rimozione di Conficker
Voci della Libreria virus McAfee
Podcast McAfee Labs
Episodio 60 - Episodio speciale sulle contromisure per W32/Conficker
Contatti
Per qualsiasi domanda, contattate un rappresentante McAfee o partner autorizzato o chiamate il numero 888.847.8766, 24 ore al giorno, sette giorni alla settimana.