Conficker continua a colpire

Scritto il 17 febbraio 2009 @ 09:59:30


In questi ultimi tempi sono aumentate notevolmente le segnalazioni di utenti che denunciano la presenza del virus Conficker nella propria rete.

Noi siamo stati coinvolti da diversi nostri clienti nell’attività necessarie ad individuare e debellare il virus dai server e PC aziendali.

Ed in un mondo veloce abbiamo acquisito velocemente competenze su questa problematica.

Ci sono diversi metodi per cercare di individuare le macchine infette e quindi rimuovere il virus.

Uno di questi è quello di fare delle query verso i server Domain Controller del dominio in modo da farsi restituire un lista dei client che stanno effettuando logon senza successo ( un comportamento del virus è quello di cercare di carpire la password di un account tramite attacchi ‘brute force’ ).

Un altro metodo invece è quello di lavorare a livello di DNS / Proxy in quanto il virus cerca di contattare una serie di server per ricevere istruzioni. 

Questo Link individua nei server dns di OPENDNS ( che hanno stretto un accordo con i Kaspersky labs) la possibile soluzione.

Una soluzione casalinga viene invece descritta su questo pdf.

Qualunque sia la strada scelta per individuare i sistemi infetti la rimozione del virus è comunque laboriosa.

Tutto questo deve far riflettere su quanto sia importante l’attività costante di patching dei sistemi e di aggiornamento degli antivirus, attività che devono essere svolte periodicamente costantemente e che spesso sono sottovalutate come importanza ma che si rivelano fondamentali in occasioni come questa.

Share