martedì 21 settembre 2010

Rimuovere Conficker (Kido, Downadup)

Sintomi ed individuazione

Il sintomo più evidente è l’impossibilità di raggiungere i siti di antivirus (avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc.), Un buon antivirus dovrebbe rilevare la sua presenza ma non è in grado di rimuoverlo. Puoi verificare la presenza del worm andando a questo indirizzo e verificando, in base alle immagini visualizzate, la variante del worm presente nel pc.

Altri effetti indesiderati

Il worm Conficker sfruttando una vulnerabilità di Windows (MS08-067) si auto riproduce su tutti i dispositivi USB e si auto avvia al loro inserimento se nel pc ospite c’è attivata la riproduzione automatica di CD o chiavette. Motivo per cui si consiglia di immunizzare le chiavette e disabilitare la riproduzione automatica. In un LAN Conficker cerca di propagarsi in tutti i pc della rete con connessioni TCP nelle porte 445 o 139.

Rimozione

Fai pulizia dei file temporanei per rendere più veloci le successive scansioni e liberarti da file inutili.
Se fai parte di una LAN scollega ogni pc ed esegui la pulizia su ogni macchina, solo al termine ricollega ogni pc alla rete.
Scarica da qui Kidokiller di Kaspersky, spostalo in C:\ ed estrailo. Se vuoi disabilitare la riproduzione delle periferiche tramite questo tool lancialo la riga di comando con il parametro –a oppure lancialo normalmente. Per lanciarlo con il parametro apri un prompt di DOS e portati in C:\ oppure apri direttamente il prompt da C:\ e digita kk.exe –a  attendi la scansione e premi un tasto quando richiesto per uscire dal programma ed eventualmente riavviare il pc. Altri opzioni per la riga di comando le trovi qui.
Se al termine della procedura il problema persiste fai una scansione con Combofix e carica nei commenti il log della scansione che provvederò a fornirti lo script per la rimozione manuale.

Una volta rimosso il worm assicurati di avere gli aggiornamenti di Windows attivati, se non puoi perchè il pc non può accedere ad internet installa la patch rilasciata da Microsoft adeguata al tuo sistema operativo.