Conficker.A Conficker.B Studio e Eliminazione di un Worm
Studio virus “CONFICKER” Conficker, conosciuto anche come Downup, Downadup e Fido, è un worm scoperto nell'ottobre 2008 che si diffonde sulle piattaforme Microsoft Windows. Il worm sfrutta una falla del servizio di rete di Microsoft Windows per diffondersi, rubando le password degli utenti. Il worm, in particolare, viene "iniettato" nel computer di chi è collegato a internet sfruttando una falla del servizio server di Windows e usa delle remote procedure call (chiamate delle procedure da remoto) per eseguirsi sul computer infettato Conficker al momento è riconosciuto sotto 2 varianti: Conficker.A Conficker.B Il primo è stato creato subito dopo il rilascio della patch MS08-067(KB958644). Questo rilascio provvede a correggere una vulnerabilità nel servizio Server relativa a tutte le versioni di Windows attualmente supportate, che permetterebbe di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell'utenza di sistema più privilegiata (LocalSystem). Il servizio Server è quello che permette al vostro sistema (sia esso client, sia esso server) di condividere le risorse di rete (share) con gli altri computer. Analisi del comportamento: Subito dopo essere infettati dal Worm nella cartella “C:\Windows\System32” viene creata una *.dll con un nome casuale contenente tutte le chiamate alle varie procedure . Effettuando un disassembling di questa dll si nota subito che contiene molte chiamate a procedure proprio per confondere la lettura del codice HEX. La suddetta libreria viene settata subito come file nascosto e di sola lettura e ne viene modificata anche la gestione dei privilegi(ACL) in modo da non poter essere modificata. Successivamente effettua varie modifiche al registro per auto avviarsi creando un chiave di registro citata qui sotto: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{NOMECASUALE} con valore%SystemRoot%\system32\svchost.exe -k netsvcs
Dopo essersi assicurato l’avvio automatico in contemporanea al servizio svchost va a disabilitare il limite di traffico di rete imposto dal ServicePack 2 :
netsh interface tcp set global autotuning=disabile
Infine setta la chiave di registro per evitare che siano visualizzati i file nascosti: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALL [CheckedValue] = “0″
Gli utenti potenzialmente infettati sono:
Utenti che hanno disabilitato gli aggiornamenti automatici; Utenti che hanno le cartelle condivise senza password Utenti che hanno come password di amministrazione molto semplice se non inesistente
Il secondo è una variante del .A ma a differenza effettua un attacco di tipo brute-force verso la login di Amministrazione causando un vero e proprio DoS. Il Worm viene riconosciuto dai più famosi antivirus con i seguenti nomi:
Win32/Conficker.A (CA) W32.Downadup (Symantec) W32/Downadup.A (F-Secure) Conficker.A (Panda) Net-Worm.Win32.Kido.bt (Kaspersky) W32/Conficker.worm (McAfee)
I sintomi dell’infezione sono i seguenti:
È impossibile fare aggiornamenti di Windows (Windows update). Windows Defender è disattivato. La rete è congestionata: è impossibile caricare anche delle semplici pagine web. Gli accessi ai siti relativi agli antivirus sono bloccati. Errori continui sul Windows Server service(SVCHOST.EXE)
Immagine su come funziona CONFICKER:
Nell’immagine sopra indicata si può notare che i PC che non possono essere colpiti dal worm sono quelli che: -Contengono una password di amministrazione molto complessa( contenente anche caratteri Jolly); -Hanno tutti gli aggiornamenti Microsoft installati; -Hanno cartelle condivise protette; -Hanno antivirus aggiornati.
Rimozione e Pulizia del WORM:
Abilitare gli aggiornamenti automatici e installarli Eseguire una scansione da OneCare: http://onecare.live.com/site/it-it/default.htm Effettuare una scansione con Norton Antivirus, l’unico in grado di rimuovere l’infezione in modo approfondito.
Antonio Blescia, 15/02/09