0
0
0
0
Home
Chi Siamo
Hardware
Software
Comunicazione
Fotocopiatrici e Stampe digitali
Servizi e Soluzioni Integrate
Arredamento ufficio
Networking
Acquisti
Assistenza
Contatti

Un nuovo Worm che attacca le reti aziendali
F-Secure Corporation sta diramando un'allerta riguardo alle nuove versioni del worm Downadup. Questo worm infetta workstation e server Windows, causando diversi problemi.


Nel nuovo anno, F-Secure ha ricevuto diversi report di network aziendali infettati con varianti di questo worm. F-Secure sta lavorando in collaborazione con le aziende interessate dal problema e con diverse organizzazioni del CERT per combattare la diffusione di questo worm.

Downadup (conosciuto anche come Conficker) è una famiglia ampia di worm di rete. Questi sono particolarmente difficili da rimuovere, specialmente nel caso di un'infezione interna su una rete aziendale.

Cosa fa il worm?
Downadup usa diversi metodi per diffondersi. Il worm ad esempio è in grado di utilizzare una vulnerabilità recentemente patchata nel servizio Windows Server, può tentare di indovinare le password di rete e può infettare le chiavette USB. Il risultato è che, una volta ottenuto l'accesso a una rete aziendale, il worm può risultare molto difficile da eliminare completamente.

Tra i problemi creati dal worm, uno dei più evidenti è che gli utenti potrebbero trovare bloccati I loro account sulla rete aziendale. Questo succede perché il worm tenta di indovinare (o di attaccare con metodo brute-force) le password di rete, causando il blocco automatico di un utente che ha sbagliato a inserire la password troppe volte.

Una volta che il worm ha infettato la macchina, si protegge in modo molto aggressivo. Per fare questo, si imposta in modo da riavviarsi molto rapidamente nel corso del processo di boot del computer; inoltre configura i Diritti di Accesso ai suoi file e alle sue chiavi di registro in modo che l'utente non le possa né rimuovere, né cambiare.

Il worm scarica versioni modificate di se stesso da un lungo elenco di siti web. I nomi di questi siti sono generati da un algoritmo basato su data e ora correnti. Siccome esistono centinaia di nomi di domini differenti che possono essere usati dal malware, è difficile per le aziende di sicurezza localizzari e farli chiudere in tempo.

Ulteriori informazioni tecniche sul malware sono disponibili sul blog di F-Secure:
http://www.f-secure.com/weblog/

Cosa fare per evitare l'infezione:

  • Assicuratevi di aver applicate le patch di Microsoft più recenti

  • Assicuratevi che la vostra organizzazione stia utilizzando la versione più recente del prodotto antivirus in dotazione

  • Controllate che l'antivirus abbia le ultime impronte disponibili

  • Disabilitate AUTORUN e AUTOPLAY per le chiavette USB

  • Controllate che le password degli utenti di dominio siano sufficientemente robuste

  • Siate particolarmente prudenti con le password degli amministratori di dominio



Cosa fare se la vostra rete è già infetta:

  • Controllate il sito del vendor per consultare le istruzioni aggiornate su come procedere alla disinfezione

  • La rimozione di questo worm è complessa e può richiedere la disconnessione di parti della vostra rete

  • Limitate l'utilizzo delle chiavette USB e bloccate il traffico non necessario sul firewall



F-Secure ha inoltre rilasciato un tool gratuito che può rimuovere le versioni conosciute di Downadup. Il file di testo allegato contiene i link per scaricare questo programma e un tool di disinfezione più aggressivo da usare nel caso in cui il primo dovesse fallire, oltre a dettagliate istruzioni e informazioni aggiuntive.

Se avete ulteriori domande o ritenete di essere stati attaccati da questo worm, potete contattare il nostro supporto tecnico presso: technical-support@f-secure.com


TOOL DI DISINFEZIONE E PROCEDURE

FSMRT (F-Secure Malware Removal Tool)

Questo tool contiene entrambi i motori AVP e Hydra, con aggiornamenti recenti. E' in grado di rilevare e ripulire solo le varianti conosciute di Downadup. Questo programma è inoltre in grado di rilevare e rimuovere altro malware, anche quello più difficile da disinfettare (Feedel, per esempio)

Link per il download:
ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip
ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt_unsigned.jar

F-Downadup (tool speciale per rimuovere le infezioni di Downadup)

Questa è essenzialmente una versione "light" di FSMRT tool, poiché contiene solo il motore Hydra con aggiornamenti piuttosto recenti. Il tool ha anche la capacità di rilevare in modo euristico le nuove varianti del worm Downadup, non ancora catalogate. Poiché il tool utilizza algoritmi euristici per trovare le nuove varianti, l'opzione di disinfezione è disabilitata per default. Per abilitarla, occorre eseguire il tool da riga di comando, includendo la stringa di testo "--disinfect" senza virgolette.

IMPORTANTE: il pacchetto JAR con il tool F-Downadup ha l'opzione di disinfezione automatica abilitata! Perciò quando il tool viene installato dal pacchetto JAR, la scansione e la disinfezione partono automaticamente!

Link per il download:
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup_unsigned.jar

Fattori da prendere in considerazione

E' consigliabile applicare le patch più recenti al sistema prima (o immediatamente dopo) della disinfezione. Almeno la patch MS08-067 dovrebbe essere installata su ogni computer. E' consigliabile inoltre distribuire gli aggiornamenti F-Secure Anti-Virus più recenti su tutte le workstation e i server disinfettati. Il worm blocca le connessioni verso i server di aggiornamento F-Secure e Microsoft, quando è attivo. Quindi gli aggiornamenti dei PC potrebbero essere obsoleti.

E' necessario che tutte le condivisioni di rete e i drive di rete abbiano password robuste, il che significa almeno 10 caratteri che includano maiuscole e minuscole, numeri e caratteri speciali (come !§$% etc.). Suggeriamo di cambiare quelle esistenti prima della disinfezione, in modo da prevenire il ritorno del worm se uno dei computer connessi è ancora infetto.

Raccomandiamo l'uso del tool F-Downadup per ripulire le macchine con sospetta infezione da Downadup. Se il tool non funziona o se c'è un malware diverso, è possibile usare il tool FSMRT come ulteriore verifica.

Vi preghiamo di leggere entrambi i file readme.txt e eult_eng.pdf inclusi in ognuno dei tool. Questi file contengono informazioni importanti sui programmi (come i codici di uscita e simili).

Entrambi i tool creano dei log nella cartella \Windows\Temp\. I log vengono aggiunti ogni volta che viene lanciato il programma. Questi log potrebbero essere necessari al Supporto Tecnico in caso di problemi con la disinfezione.

Durante l'operazione, F-Secure GateKeeper viene disabilitato, quindi la macchina è vulnerabile agli attacchi dall'esterno. Suggeriamo per maggiore sicurezza di disconnettere il computer dalla LAN e da Internet. Se questo non è possibile, accertatevi che il file sharing sia disabilitato per impedire al worm di diffondersi ulteriormente.

Suggeriamo di impostare l'azione di disinfezione del real-time scanner (OAS) del prodotto F-Secure Anti-Virus su "Disinfezione Automatica " prima di usare i tool. Dopo la disinfezione, questa opzione aiuterà a prevenire la re-infezione di computer già ripuliti nel caso in cui la rete sia ancora infetta.

Vi ricordiamo che il worm infetta i drive USB, le condivisioni e i drive di rete, quindi tutte queste risorse devono essere controllate e disinfettate. Ricordatevi di disabilitare tutte le feature di Autorun/Autostart nel computer che verrà utilizzato per ripulire i drive USB e quelli di rete.

Suggeriamo di effettuare un test sui tool su alcune workstation infette prima di un deployment di massa. I tool sono stati testati in ambienti di laboratorio, ma a causa dei tempi ristrettissimi, vengono ancora considerati in fase di beta. In caso di problemi con uno di questi strumenti, vi preghiamo di segnalarlo al Supporto Tecnico.

Dopo la disinfezione, occorre controllare se il prodotto F-Secure installato e i servizi critici di Windows (firewall, servizio di aggiornamento, etc.) stanno funzionando correttamente. Potrebbe essere opportuno creare un punto di Ripristino del Sistema subito dopo la disinfezione.

I tool e i pacchetti JAR sono stati verificati nei seguenti sistemi operativi:

Windows 2000 SP4
Windows XP SP2
Windows Vista (32-bit)

I test su Windows 2003 sono ancora in corso. Le versioni precedenti dei tool comunque non avevano problemi in quell'ambiente.




In primo piano...
Gartner promuove Watchguard LEADER
WatchGuard è stata riconosciuta come azienda leader nel “Magic Quadrant 2009” di Gartner, relativo ai Firewall Multifunzione destinati alle piccole e medie imprese.


La sicurezza nelle PMI
WatchGuard annuncia le 10 minacce principali per la sicurezza delle reti delle piccole e medie aziende


Un nuovo Worm che attacca le reti aziendali
F-Secure Corporation sta diramando un'allerta riguardo alle nuove versioni del worm Downadup. Questo worm infetta workstation e server Windows, causando diversi problemi.


F-Secure Health Check:
Il vostro PC vi sembra un po’ fuori forma? Temete che vi si sia annidato qualche virus? Fategli un check-up con F-Secure Health Check!


Micronet sposa il VoIP alla telefonia tradizionale
La crescente diffusione della telefonia VoIP può essere favorita da una disponibilità sempre maggiore di apparati che la supportino.


Appliance di sicurezza secondo WatchGuard
La nuova versione di Fireware, il nuovo sistema operativo delle appliance WatchGuard, promette maggiore protezione e massima facilità di gestione dei dispositivi.





Giani SRL - Soluzioni per l'ufficio · Via Riccardo Brusi, 241 · 47023 Cesena (FC) · Tel. 0547.21704 · Fax 0547.613766 · info@gianisrl.it · P.IVA 03173040407
0
0
0
0