VIRUS in DOMINIO Win 2003

[RiccardoS]

Chiedo scusa per il titolo e la richiesta... forse la sezione non è la più adatta, ma volevo sapere se siete a conoscenza di un virus che si sta diffondendo negli ultimi giorni e che causa problemi nei servizi DNS nei domini con server MS Windows 2003; sintomo, anche per i client della rete: impossibile aprire il sito di qualunque produttore di antivirus, o siti che contengano la parola "virus" nel nome del dominio*

Avete idea di che virus sia? Nome? Rimedi?

Per ora ne ho notizia da parte di 2 domini entrambi "protetti" con trendmicro (il corrispondente del vecchio server protect, di cui non ricordo mai il nome) e officescan, pertanto non so se il problema sia relativo solo a questo antivirus.
Grazie

[RiccardoS]

niente? nessuna notizia?

chiedo un favore a chi non è interessato dal problema: potreste dirmi se sul sito della trendmicro c'è qualche info al riguardo?

[RiccardoS]

News: sembra che il bastardo si chiami W32.downadup, almeno secondo symantec. alias: Win32/Conficker.A

risale a fine novembre... in rete ci sono anche le istruzioni per rimuoverlo... boh vedremo.

[RiccardoS]

con l'ultimo aggiornamento, trendmicro lo riconosce da oggi come worm_downad.ad

speriamo riesca a pulire i pc inmfetti automaticamente, ma conoscendolo ci spero poco...

[davidcire]

Ciao Riccardo,
ho anche io un problema simile al tuo, il trend micro nella mia azienda mi trova questo worm_downad.ad sulla maggior parte dei pc della rete..ho provato praticamente tutti gli antispyware/malware esistenti ma niente da fare.
Te sei riuscito a debellare il worm solo con trend micro???

[wjmat]

per entrambi

seguire la guida alla disinfezione per infetti ed eseguire, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità in questo modo potremo capirci qualcosa pure noi

[xcdegasp]

ovviamente se siete in azienda e avete possesso dell'account amministratore su windows server 2000 significa che siete sistemisti, siamo ben lieti di darvi una mano ma è ovvio che sia richiesta la pubblicazione dei logs

[RiccardoS]

no no, non sono il sistemista dell'azienda: lo ero! ora sono un semplice utente, però stavo cercando di dare loro una mano cercando info.

dal 4 gennaio il trend trova l'infezione e rimuove la dll, ma occorre anche installare una patch microsoft, esattamente la kb-08-067

saluti!

[xcdegasp]

sarebbe opportuno applicare anche le altre patch mancanti all'appello visto che anche altre grosse vulnerabilità sono state corrette

[RiccardoS]

Quote:

Originariamente inviato da xcdegasp

sarebbe opportuno applicare anche le altre patch mancanti all'appello visto che anche altre grosse vulnerabilità sono state corrette

assolutamente d'accordo.

peccato che i gestori della rete non lo siano altrettanto!

[RiccardoS]

maggiori info qui: http://www.pcalsicuro.com/main/2009/...nelle-aziende/

[GmG]

Ne parla anche f-secure
http://www.f-secure.com/weblog/archives/00001574.html

con relativo tool di rimozione (in versione BETA)

ftp://ftp.f-secure.com/anti-virus/to...f-downadup.zip

[davidcire]

Ciao a tutti,
solo per aggiornarvi che la settimana scorsa ero riuscito a scovare i ben 5 pc infetti e a ripulirli e ora tutto è tornato a posto!
Grazie a tutti per la disponibilità!

[RiccardoS]

Quote:

Originariamente inviato da davidcire

Ciao a tutti,
solo per aggiornarvi che la settimana scorsa ero riuscito a scovare i ben 5 pc infetti e a ripulirli e ora tutto è tornato a posto!
Grazie a tutti per la disponibilità!

puoi decrivere esattamente che procedure e strumenti hai utilizzato per pulirli? sarebbe molto utile.

[gimmy74]

Ragazzi purtoppo ho beccato quello che per adesso è il worm di inizio anno.
Si chiama confiker o downadup ma può avere altri nomi. In sostanza i sintomi sono quelli già descritti....non c'è possibilità di fare l'aggiornamento di tutto ciò che riguarda la sicurezza. Quindi antivirus, antispyware, aggiornamenti di sistema e navigazione in siti di software house relativi alla sicurezza. Ma la cosa tragica è che nè Avira Antivirus, nè Spyware Doctor, nè Superatispyware, nè Malwarebyte's, ne A-Squared lo vedono..... Eppure lui è lì

Guardate che tutti i programmi sono aggiornati e configurati come descritto nelle apposite guide. Quindi siamo in presenza di una cosa veramente tosta. Pensate che in ufficio da me, il server e collassato miseramente.

Un ultima cosa....esiste una patch di sicurezza di Windows che consente di non beccare questo worm....ma con tutto che da me è installata e passata lo stesso.
Ciò significa che è già presente una variante.

Un consigli a chi ha questo problema. Per consentire a tutti i programmi di sicurezza di fare l'update e/o navigare nei siti bloccati, bisogna andare tramite gli strumenti di amministratore in servizi e riavviare il client DNS. Ma è una soluzione temporanea. Al primo riavvio tutto torna come prima.

Aiutiamo a sconfiggerlo

[RiccardoS]

Quote:

Originariamente inviato da RiccardoS

puoi decrivere esattamente che procedure e strumenti hai utilizzato per pulirli? sarebbe molto utile.

per ora descrivo quella che ho utilizzato io, quando finalmente son riuscito ad operare su una delle reti:

1) staccare il pc dalla rete
2) disattivare il system restore (se si tratta di xp)
3) pulire il sistema con un tool apposito (io ne ho usato uno della bitdefender)
4) applicare la corretta patch, che si può scaricare dal sito della microsoft cercando il bollettino di sicurezza MS08-067
5) riavviare e ricollegare il pc alla rete: se in rete ve ne sono altri infetti e sui pc sono presenti condivisioni con user admin, il virus tenterà di diffonderi nuovamente, ma almeno ora la macchina dovrebbe esserne immune

[RiccardoS]

Quote:

Originariamente inviato da gimmy74

Guardate che tutti i programmi sono aggiornati e configurati come descritto nelle apposite guide. Quindi siamo in presenza di una cosa veramente tosta. Pensate che in ufficio da me, il server e collassato miseramente.

Un ultima cosa....esiste una patch di sicurezza di Windows che consente di non beccare questo worm....ma con tutto che da me è installata e passata lo stesso.
Ciò significa che è già presente una variante.

Un consigli a chi ha questo problema. Per consentire a tutti i programmi di sicurezza di fare l'update e/o navigare nei siti bloccati, bisogna andare tramite gli strumenti di amministratore in servizi e riavviare il client DNS. Ma è una soluzione temporanea. Al primo riavvio tutto torna come prima.

Aiutiamo a sconfiggerlo

ci sono delle varianti, ma la patch dovrebbe essere ok per tutte: forse non hai disinfettato correttamente o hai tenuto collegato il pc alla rete mentre lo pulivi e prima di applicare la patch o non hai disattivato il system restore.

[Welcome2008]

Seguendo questo link scarico uno dei 2 programmini , che a parte che se te lo rimuove dopo ti dice comprami la licenza , ma poi amnco me la fa perchè va in rete a prendersi l'aggiornamento dei virus!

Qualcuno è riuscito a trovare una procedura da seguire?

Quote:

1) staccare il pc dalla rete
2) disattivare il system restore (se si tratta di xp)
3) pulire il sistema con un tool apposito (io ne ho usato uno della bitdefender)
4) applicare la corretta patch, che si può scaricare dal sito della microsoft cercando il bollettino di sicurezza MS08-067
5) riavviare e ricollegare il pc alla rete: se in rete ve ne sono altri infetti e sui pc sono presenti condivisioni con user admin, il virus tenterà di diffonderi nuovamente, ma almeno ora la macchina dovrebbe esserne immune

potreste linkarmi il remove tool che avete usato e che vi ha risolto?

[RiccardoS]

Quote:

Originariamente inviato da Welcome2008

Seguendo questo link scarico uno dei 2 programmini , che a parte che se te lo rimuove dopo ti dice comprami la licenza , ma poi amnco me la fa perchè va in rete a prendersi l'aggiornamento dei virus!

Qualcuno è riuscito a trovare una procedura da seguire?



potreste linkarmi il remove tool che avete usato e che vi ha risolto?

la procedura che ho indicato sopra funziona. il link è:

http://www.bitdefender.com/site/Down...movalTool/?l=w