Navigazione problematica con i sistemi operativi Windows

[Murcielago]

Ben ritrovati a tutti,

Da circa 15gg parecchi miei clienti segnalano strani disguidi sulla navigazione internet, premetto che tutti i clienti hanno sistemi antivirus coorporate,firewall fisici con filtro navigazione web e mail, ma nonostante tutto alcuni pc della rete (con vari sistemi operativi 2000,xp,vista) e in alcuni casi anche il server (sia 2000 che 2003) non raggiungono diversi siti tra cui , microsoft.com,pandasecurity.com, eset.com, sophos.it etc etc.
Io ho eseguito le seguenti prove ma il problema persiste:
-Controllo DNS
-Scansione con :nod32,panda antivirus,trendmicro offiscan,superantispyware,ad-aware,malwarebytes,sophos anti rootkit,
-verificato event viewer
-controllati servizi windows
-eseguiti tutti gli update (provato anche a togliere gli ultimi e poi rimetterli)
-Ripristinato winsock
-fixato MTU
-Ripristinato tcp/ip
-reinstallato tcp/ip
-eseguite verifiche varie con nslookup,netstat,netsh etc etc

Non so più cosa verificare qualche idea?

[AirJ]

Mi fa tanto pensare ad un virus che proprio in questo periodo ha messo in crisi molte aziende, spetta che ritrovo un link e te lo posto.

[AirJ]

Trovato!

Prova a vedere se c'entra qualcosa, da quello che si dice e' un bel bastardo.

PC Al Sicuro Blog Archive Conficker si diffonde nelle aziende

[Murcielago]

La strada è quella grossomodo, a breve pubnblico il workaround preciso grazie !!!!!

[AirJ]

La strada è quella grossomodo, a breve pubnblico il workaround preciso grazie !!!!!

Ok, anche se spero di non averne mai bisogno....
Facci sapere comunque se hai risolto.

[Murcielago]

Come promesso pubblico tutto qui :

Sicurezza - Aggiornamento riguardo al Worm Win32/Conficker.B

[Ultimo aggiornamento 22 Gen 2009 - 11:58]

In questo periodo abbiamo identificato una nuova variante del virus Conficker.
Il virus inizialmente attacca i sistemi che non hanno installato l’aggiornamento di sicurezza MS08-067 e, una volta infettato il sistema, proverà a diffondersi utilizzando degli attacchi di tipo “brute force”.
Questo tipo di attacco cercherà di crackare le password degli altri sistemi e, una volta entrato, lo infetterà.

Per maggiori informazioni riguardo alla vulnerabilità e al bollettino correttivo MS08-067, fate riferimento al post di Feliciano Intini.

Di seguito vediamo i sintomi e i principali metodi per mitigare il diffondersi dell'infezione.

Sintomi

I principali sintomi sono:

Molti / Tutti gli account utente e amministratore iniziano ad essere bloccati.
Per ottenere maggiori informazioni riguardo agli account bloccati è disponibile l'Account Lockout Tools.
Alcuni servizi fondamentali sono arrestati o disabilitati
Non è possibile accedere ai siti internet di Windows Update e dei principali software antivirus
In alcuni casi il server può riportare degli errori legati a SVCHOST
Presenza di un task schedulato nella cartella %windir%\Tasks come indicato di seguito (il nome del processo è random)
Task Scheduler
At1.job
rundll32.exe vvrwa.m
1c6853e9b25326fbf64f1112a38775a9 (MD5)
f48bd378dbae8d0f00912c31206b236a9bdf4261 (SHA-1)
Ad oggi, Microsoft e le altre società antivirus hanno identificato questo tipo di attacco malware come indicato al sito Microsoft Malware Protection Center.
Verificate le informazioni presenti nel link indicato sopra per poter analizzare il modo utilizzato nella diffusione dell'infezione.
Inoltre è possibile che il sistema sia infettato da una diversa variante del virus: verificate sempre al sito Microsoft Malware Protection Center

Rimozione

Il modo migliore per rimuovere il virus è utilizzare l'Antivirus installato nel sistema in quanto riduce i tempi di scansione e permette di limitare le reinfezioni.

In caso non sia rilevabile, si può utilizzare la versione Online di Windows Live OneCare Safety scanner oppure il tool standalone Microsoft Malicious Software Removal Tool disponibile gratuitamente ed entrambi in grado di rilevare e rimuovere il virus e le sue varianti.

L'ultimo modo di rimozione, consiste in quello manuale come riportato di seguito:

NON loggarsi nei server con utenza di dominio se possibile, specialmente NON come Domain Admin. Utilizzare un utente locale.
Il malware impersona l’utente loggato interattivamente e accede alle risorse di rete usando queste credenziali.
Arrestare il servizio "Server" e "Task Scheduler" = questo rimuove la share Admin$ dal sistema in modo tale che il malware non possa diffondersi tramite questo metodo.
Da notare che è fatto solo temporaneamente, specialmente nei server di produzione nei quali sarà impattata la disponibilità dei servizi di rete.
Caricare manualmente l'aggiornamento di sicurezza MS08-067
Cambiare tutte le password degli amministratori locali e di dominio utilizzando password complesse come indicato in questo articolo = Enforcing Strong Password Usage Throughout Your Organization
Avviare regedit e selezionare la seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

Nella sezione di destra, aprire netsvcs per vedere la lista dei servizi:

Nell'elenco dei servizi presenti, selezionare l'ultima voce della lista.
Se il server è infettato, sarà presente un nome random come quello illustrato in figura (gzqmiijz in questo esempio):

Rimuovere la entry del virus (assicurati che ci sia una riga vuota sotto l'ultimo servizio valido)

Modificare i permessi della chiave di registry SVCHOST in modo che non possano essere cambiati.
Spostarsi nella seguente chiave di registry, fare click con il tasto destro del mouse e selezionare "Security":
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

In "Permissions", selezionare il pulsante "Advanced"


In "Avanzate", selezionare il pulsante "Add"

In "Select User, Computer or Group" inserire "Everyone" e premere il pulsante "Check Names"


In "Permission Entry", cambiare l'impostazione "Apply onto" con il valore "This key only"
In corrispondenza di "Set Value" attivare "Deny"

Selezionare "OK" e nuovamente "OK"
All'avviso di sicurezza, selezionare "YES"

Selezionare "OK"
Ora che si conosce il nome del servizio utilizzato dal malware, selezionare la seguente chiave di registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%BadServiceName%

Nel nostro esempio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
Fare click con il tasto destro del mouse sulla chiave del servizio utilizzato dal malware e seleziona "Permissions"
Nota: con Windows 2000 Server è necessario utilizzare Regedt32 per modificare le permissions


In "Permissions", selezionare il pulsante "Advanced"

Selezionare entrambi le seguenti opzioni e fare click sul pulsante OK:
+ Inherit from parent the permission entries that apply to child objects...
+ Replace permission entries on all child objects…

Fare refresh della visualizzazione premendo su F5 per poter modificare la DLL utilizzata dal servizio

Modificare la chiave rinominando il file da DLL a BAD

Potrebbe esserci una voce nella seguente chiave di registro che avvia il malware e che deve essere rimossa
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Controllare in ogni disco del sistema la presenza di un file "Autorun.inf", aprirlo con notepad e verificare che contenga delle righe simili all'esempio seguente:
[autorun]
shellexecute=Servers\splash.hta *DVD*
icon=Servers\autorun.ico
Cancellare il file "autorun.inf" se non valido
Riavviare il server
Spostarsi nella cartella dove è presente il malware (es. "%SystemRoot%\Sysmte32\")
Modificare i permessi sul file impostando "Full Control" per "Everyone"
Cancellare il file (es. "%SystemRoot%\Sysmte32\emzlqqd.dll")
Abilitare i servizi BITS e Automatic Updates attarverso Services.msc
Rimuovere tutti i task schedulati dal malware dalla cartella %windir%\Tasks con il comando AT /Delete /Yes
Abilitare la visualizzazione dei file nascosti e di sistema con il seguente comando:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
Disattivare l'Autorun per ridurre la re-infezione lanciando il seguente comando:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
NOTA: Seguite questo articolo How to correct "disable Autorun registry key" enforcement in Windows
Se il server è reinfettato, verificare che tutti i job schedulati siano stati cancellati (vedi punto 31) o i file autorun non sono stati rimossi correttamente (vedi punto 24)
Installare le ultime fix di sicurezza utilizzando Windows Update, WSUS, SMS, SCCM o altri programmi di terze parti per gestire le patch.
Se si utilizza SMS o SCCM, è necessario riabilitare il servizio "Server" altrimenti non sarà possibile accedere al server da remoto.
Ci sono altri danni collaterali causati dal virus. Verifica nei link precedenti le informazioni riguardo il virus Conficker.B
Posterò aggiornamenti in caso di modifiche o novità riguardo a questo virus.

[okik]

classico problema quando in azienda non si installano tutti gli aggiornamenti per paura di non si sa bene cosa...

[Murcielago]

Peccato che le fix di microsoft x ilk confiker b/c ancora nn c siano ancora