Guida alla rimozione Conficker (Downup - Downadup - Kido)
Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza
"Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5"
■ Cos'è il worm Conficker
Conficker, conosciuto anche come Downup, Downadup e Kido è un worm scoperto nell'ottobre 2008 e si diffonde sulle piattaforme Microsoft Windows 2000, XP, Vista e Server 2003/2008. Il Worm è in grado di sfruttare una grave vulnerabilità di sicurezza, corretta dalla stessa Microsoft in data 23 Ottobre 2008 con la pubblicazione del bollettino straordinario
MS08-67.
Le finalità del Conficker non sono estremamente chiare, attualmente il worm dopo aver infettato milioni di computer nel mondo verrà molto probabilmente utilizzato per creare una botnet per inviare spam, rubare informazioni personali e redirigeri gli utenti su siti di pishing e truffe online.
Il worm si diffonde principalmente sulle reti, individuato un PC vulnerabile si installa in modo silente, elimina i punti di ripristino precedenti, disattiva alcuni servizi di protezione, inibisce l'accesso ai siti Web sulla sicurezza, come i siti dei maggiori produttori di software antivirus, apre il sistema infetto per consentire la ricezione di altro codice malevolo, copia se stesso nelle cartelle condivise di rete e sui supporti removibili USB.
In funzione di quanto sopra esposto gli utenti a rischio sono quelli che hanno disabilitato gli aggiornamenti automatici ma soprattutto coloro che non utilizzano una copia orignale di Windows in quanto impossibilitati a ricevere gli aggiornamenti e le patch di Microsoft.
■ Sono infetto?
Se siete impossibilitati a fare gli aggiornamenti di Windows e non riuscite a raggiungere i siti Web sulla sicurezza, è probabile che Conficker abbia fatto breccia sul vostro PC. Per determinare la presenza del Worm è sufficiente cliccare sui seguenti link, l'interpretazione dei risultati è estremamente intuitiva.
Test 1
Test 2
■ Guida alla rimozione
- Al fine di mantenere il Thread ordinato e fruibile, hostate i log solo ed esclusivamente in formato .txt sui Server remoti indicati nelle REGOLE DI SEZIONE pubblicando per ogni singolo log il link che verrà rilasciato per il download
- E' opportuno leggere attentamente tutta la Guida prima di intraprendere la procedura di rimozione
- Per la rimozione del Conficker è fondamentale scollegare il PC dalla rete LAN (WI-FI-ADSL-HSDPA/UMTS) e mantenerlo scollegato, per cui si rende necessario scaricare a priori tutti i tools dedicati alla rimozione
● Rilevazione e rimozione
1. ATF Cleaner - Download - Guida all'utilizzo
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
2. BDTOOLS REMOVE Downadup -
Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Doppio click su
bd_rem_tool.zip estraete tutti i files
(importante) verrà creata una cartella denominata
bd_rem_tool contenente
bd_rem_tool_console.exe e
bd_rem_tool_gui.exe
Doppio click su
bd_rem_tool_gui.exe all'Avviso di protezione di Windows cliccate su
Esegui e successivamente su
Start per lanciare la scansione, attendete pazientemente in quanto la scansione può durare anche più di 15 minuti, al termine della stessa vi verrà chiesto di riavviare
(restart) il PC, acconsentite cliccando su
Yes
Il file di log da allegare per il controlo si trova in
C:\Win32.Worm.Downladup.Gen.log
3. ComboFix -
Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
NB: ComboFix deve essere eseguito a macchina dedicata,
(chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza
Doppio click su
ComboFix.exe e seguite le istruzioni a video,
rifiutando l'installazione della
Console di Ripristino di emergenza
Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in
C:\ComboFix.txt
4. Gmer -
Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Scompattare il file compresso per praticità sul DeskTop e lanciare
Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log
IMPORTANTE: a questo punto allegate i log nella sequenza indicata
BDTOOLS REMOVE Downadup
ComboFix
Gmer
ed attendete una risposta da chi presta assistenza
● Scansione di controllo
1. Emsisoft Anti-Malware 5.0 -
Download -
Guida all'utilizzo
Compatibile: Windows XP - Vista - Seven
Doppio click su
a2AntiMalwareSetup.exe per lanciare l'installazione, seguite le istruzioni a video, al termine dell'installazione vi verrà chiesto di eseguire l'update terminato il quale bisognerà riavviare per rendere effettive le modifiche apportate
Cliccare su
Scansiona PC -
Completa -
Scansiona
Terminata la scansione cliccare su
Metti in quarantena gli oggetti selezionati, successivamente su
Salva rapporto per salvare il log in formato .txt da allegare per il controllo
● Trattamento post infezione
1. Installare la Patch
MS08-67
2. La presente
Guida vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.