 A seguito delle numerose news pubblicate in rete negli ultimi giorni, relative alla diffusione delle infezioni da worm Conficker, segnaliamo la pubblicazione da parte di Microsoft di una serie di informazioni (un sommario) sull'aggiornamento di protezione MS08-067, sul codice exploit diffuso in rete, sulla vulnerabilità sfruttata e sul codice worm.
Dal Microsoft Malware Protection Center: "Prima di tutto, evidenziamo i vari vettori d'attacco perché è importante per i clienti capire che il worm Conficker utilizza una varietà di vettori di attacco per infettare le macchine. In base a questa analisi proseguiamo con le linee guida su ciò che i clienti possono fare per proteggersi. Il primo e più importante consiglio è quello di installare immediatamente l'aggiornamento di protezione associato al Microsoft Security Bulletin MS08-067, se non lo avete già fatto. Tuttavia, dato che questo worm utilizza un numero di vettori d'attacco addizionali forniamo ulteriori informazioni e assistenza per aiutarvi a creare un approccio di protezione profondo. Infine, chiudiamo con informazioni e precisazioni su come pulire la vostra macchina utilizzando il Microsoft Malicious Software Removal Tool.
 Worm Conficker in Diffusione - MS08-067: Nuovo Worm "Conficker" - Altre
Esaminiamo nuovamente i modi in cui questo worm si diffonde. Finora, solo due varianti del worm sono state scoperte in the wild. La prima, Worm:Win32/Conficker.A, è stato segnalata il 21 Novembre 2008 e si propaga solo sfruttando la vulnerabilità corretta dall'aggiornamento di protezione MS08-067. Questa variante evita di infettare computer che utilizzano il layout di tastiera ucraino e questo ha alimentato il sospetto che il malware developer sia di origine ucraina. Worm:Win32/Conficker.B, la seconda variante, è stata segnalata il 29 Dicembre 2008. Questa variante utilizza metodi di propagazione multipli: 1. Tenta di infettare altri computer sulla rete tramite l'exploit di MS08-067. Questo metodo darà al worm un strada sicura in quegli ambienti che non hanno completato il roll-out di questo aggiornamento di protezione su tutti i loro computer Windows. 2. Tenta di copiarsi nella condivisione ADMIN$ della macchina target, che è la cartella Windows di default. Prima tenta di utilizzare le credenziali dell'utente correntemente loggato. Questo metodo funzionerebbe bene in ambienti in cui lo stesso account utente viene utilizzato per differenti computer sulla rete, e solo se questo account ha diritti di amministrazione. Se fallisce, tenta di un metodo differente: ottiene una lista di account utente sulla macchina target e tenta di connettersi utilizzando ogni nome utente e una lista di password deboli (esempio: '1234', 'password', o 'student'). Se una di queste combinazioni funziona e quell'account ha permessi in scrittura, si copia nella cartella ADMIN$. 3. Copia se stesso nei media rimovibili come drive USB e altri storage portatili. Aggiunte un file INF in modo che quando il media rimovibile viene utilizzato, la finestra AutoPlay mostrerò una opzione aggiuntiva [Open folder to view files – Publisher not specified] … se l'utente sceglie la prima opzione il worm si esegue.
Conficker Autorun. Conficker effettua anche diverse modifiche di configurazione in modo da eseguirsi ad ogni avvio di Windows. Nello specifico aggiunge se stesso come un servizio e aggiunge anche un valore di registro in HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Termina inoltre vari servizi che dovebbero essere riattivati e maggiori informazioni sono disponibili qui. Allo stesso modo, Worm:Win32/Conficker.B tenta di terminare qualsiasi processo che ha un nome che sembra indicare che si tratti di un programma antivirus o altro software di sicurezza. Blocca l'accesso ai siti web di molti vendor antivirus e di sicurezza ed a Windows Update. Questo worm fa ulteriori passi e la nostra voce di enciclopedia include maggiori dettagli a riguardo.
Dati tutti questi metodi di propagazione, i clienti necessitano di prendere provvedimenti per ridurre il rischio di essere infettati dal worm: 1. Completare l'installazione dell'aggiornamento MS08-067 su tutti i computer Windows nel vostro ambiente. Dato che l'installazione al 100% potrebbe essere difficoltosa per diverse aziende, i prossimi passi per una 'defense-in-depth' possono aiutare a ridurre ugualmente il rischio. 2. Utilizzate un prodotto antivirus che abbia un rilevamento sicuro di Conficker. Questo programma antivirus dovrebbe essere in grado di bloccare il worm dal copiarsi su altre macchine. 3. Utilizzate password robuste sia per qualsiasi account utente sia per qualsiasi condivisione di file nel vostro ambiente. Fate la scelta che funziona meglio per voi riguardo le opzioni di AutoPlay. Alcuni utenti potrebbero voler disabilitarlo.
Se avete un rete che è stata infettata da questa minaccia, utilizzate i passaggi precedenti per proteggere il vostro ambiente. Quindi disinfettatela utilizzando le istruzioni passo-passo per la rimozione sfruttando il MSRT dal KB 962007."
L'articolo di Microsoft fornisce infine una lista di link a risorse utili sull'argomento. |
|
non ci sono commenti
