worm conficker

[wjmat]

puoi provare a rimanere sconnesso dopo la pulizia?
le altre macchine sono ancora infette?

[juninho85]

Quote:

Originariamente inviato da wjmat

puoi provare a rimanere sconnesso dopo la pulizia?
le altre macchine sono ancora infette?

eccetto 2 macchine e una con win2000 si,tutti i pc sono infetti.
ora provo...per me come ragionamento può filare

[wjmat]

scollegarsi da internet e dalla rete dovrebbe essere una delle prerogative per cominciare la disinfezione

[juninho85]

ovvio...quando sono intervenuto manualmente la disinfezione andava a buon fine,il problema rispuntava a lavoro fatto,quando presumibilmente il problema era risolto per cui il pc veniva ricollegato alla rete

[Chill-Out]

Trattandosi di una LAN è opportuno isolare le macchine, procedere con la disinfezione ed installare le relative patch, altrimenti non se ne esce più, ma il tutto mi sembra abbastanza ovvio

[FiReBat]

quindi al momento non c'è modo per rimuovere suddetto virus... anche a me lo toglie ma ritorna sempre (se devo tenerlo sconnesso tanto vale che lo tengo spento..)

[juninho85]

datemi il tempo di provare e vi farò sapere

[darksidegi]

Quote:

Originariamente inviato da Chill-Out

Ciao segui questa procedura:


1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

3 Scarica questo Tool f-downadup sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

4 Fai girare questo tool -> Download e Info

5 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

6 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3


NB: è assolutamente consigliato scaricare i tool sopra indicati e seguire la procedura offline

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** --> dove troverai le modalità per allegare i log

credo di aver eliminato il virus con un paio di tool di rimozione specifici per il virus in questione. dico che credo di averlo eliminato dato che ora riesco ad aprire le pagine relative ai principali siti di antivirus. solo che il PC continua a riavviarsi da solo di tanto in tanto.
mi consigliate di effettuare lo stesso questi passaggi oppure combinerei qualche guaio? come posso essere sicuro di aver eliminato definitivamente il virus?

ps: mi consigliate di installare avira o kaspersky?

[Chill-Out]

Quote:

Originariamente inviato da darksidegi

credo di aver eliminato il virus con un paio di tool di rimozione specifici per il virus in questione. dico che credo di averlo eliminato dato che ora riesco ad aprire le pagine relative ai principali siti di antivirus. solo che il PC continua a riavviarsi da solo di tanto in tanto.
mi consigliate di effettuare lo stesso questi passaggi oppure combinerei qualche guaio? come posso essere sicuro di aver eliminato definitivamente il virus?

ps: mi consigliate di installare avira o kaspersky?

Ti suggerisco di seguire tutti i passaggi ed allegare i log per il controlo, sono l'unico strumento che abbiamo per darti i suggerimenti del caso

Per quanto concerne l'AV se opti per una versione commerciale (pagamento) ti suggerisco la suite del Kaspersky ovvero KIS 2009, eventualmente Avira Antivir Free solo antivirus al quale dovrai affiancare un Firewall, comunque per queste richieste esiste un 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1476319

[darksidegi]

Quote:

Originariamente inviato da Chill-Out

3 Scarica questo Tool f-downadup sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

Start - Esegui non riesce a riconoscere la procedura. ho anche notato che (C non si apre con l'autoplay (o anche solo cliccandoci sopra) in quanto mi da uno strano errore (Impossibile trovare il file "RECYCLER/S-3-8-18-100005389-1000...). lo stesso errore mi viene aprendo ad esempio una penna

[darksidegi]

Quote:

Originariamente inviato da Chill-Out

5 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

non riesco ad eseguire combofix, dato che il PC si riavvia improvvisamente (credo per colpa del virus). mi spiego meglio: apro combofix e mi esce un rettangolo blu. subito mi chiede di installare una console di ripristino di emergenza, se acconsento comunque non riesce ad installarla. poi continuo con la scansione, ma ad un certo punto il PC si riavvia.

accade sempre questo, anche se la prima scansione aveva rilevato un virus (con un nome tipo tookit o una cosa del genere), il PC comunque si è riavviato e non è riuscito nella scansione.

tengo a precisare che ho scollegato il PC da internet ma non sono riuscito a disabilitare il mio antivirus (avira internet security 2009). qualcuno sa come disattivarlo?


EDIT:
googlando ho trovato qualcuno con il mio stesso problema (almeno credo). il sito è questo
la procedura alternativa indicata va bene lo stesso oppure devo trovare un modo per usare combofix?

[wjmat]

non conosco la versione premium, con la free tasto dx sull'ombrello nella icon tray e togli la spunta su "Antivir guard Enable"

[juninho85]

ne son venuto a capo,ecco come
Premessa:
1)disabilitate ripristino configurazione di sistema
2)bisogna avere gli strumenti del caso perchè è necessario operare sconnessi da qualsiasi rete lan o wan che sia


1)scansione con gmer,vi ritroverete risultati molto simili a questi:

Codice:

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                   [AUTO] wvraoeh                                                                                                <-- ROOTKIT !!!

Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@DisplayName                          Update Network
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Type                                 32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Start                                2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ErrorControl                         0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ImagePath                            %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ObjectName                           LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Description                          Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet. Se il servizio ? stato arrestato, queste funzionalit? non saranno disponibili. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh\Parameters                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh\Parameters@ServiceDll                C:\WINDOWS\system32\wtryc.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh@DisplayName                              Update Network
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Type                                     32
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Start                                    2
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ErrorControl                             0
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ImagePath                                %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ObjectName                               LocalSystem
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Description                              Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet. Se il servizio ? stato arrestato, queste funzionalit? non saranno disponibili. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati.
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh\Parameters                               
Reg             HKLM\SYSTEM\ControlSet002\Services\wvraoeh\Parameters@ServiceDll                    C:\WINDOWS\system32\wtryc.dll
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs              
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota     10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                   yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                  
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000

e magari qualche ads "appeso" al file svchost.exe sotto system32...penso con lo scopo di nascondere la dll che carica il proprio servizio sotto l'host di servizi.
notare come il rootkit si carichi sotto un servizio di win(Update Network-Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet....)escludendone le funzionalità per cui questo è presente nel nostro sistema operativo.
Nel mio caso l'input che m'ha spinto a indagare è stato il non funzionare a ogni riavvio di un qualsiasi servizio(e sempre diverso) di win(e mai di terze parti),con continuo generamente di file temporanei(file con estensione .exe cammuffati in bmp,gif,jpg o jpeg)pur senza nessuna applicazione aperta....un altro pc invece non accedeva nè ai motori di ricerca ne sul sito di una qualsiasi software house di sicurezza

Dal log fondalmentalmente emergono una dll che è la causa principale di tutti i mali e un servizio...su alcuni pc mi è capitato di trovare una copia di questo file con stesso nome sotto C:\Programmi\internet explorer e sotto c:\windows\ con nome "x"...potete averne evidenza confrontando l'md5 del file incriminato,ovvero:

Codice:

1ee727ac887e6a2425719ed082fbdbb5

che almeno nella mia lan aziendale è sempre lo stesso
Fate caso che tali file sono visibili solo se 1)abilitate la visualizzazione dei file nascosti 2)abilitate la visione dei file protetti di sistema
Vi è però dell'altro che gmer non può rilevare,queste modifiche al registro:

Codice:

REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters]
"NV Hostname"="Roberto"
"DataBasePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
  33,32,5c,64,72,69,76,65,72,73,5c,65,74,63,00
"ForwardBroadcasts"=dword:00000000
"IPEnableRouter"=dword:00000000
"Domain"=""
"Hostname"="Roberto"
"SearchList"=""
"UseDomainNameDevolution"=dword:00000001
"DeadGWDetectDefault"=dword:00000001
"DontAddDefaultGatewayDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters\NdisWanIp]
"LLInterface"="WANARP"
"IpConfig"=hex(7):54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,\
  65,72,66,61,63,65,73,5c,7b,34,32,34,39,44,41,32,41,2d,30,39,46,39,2d,34,38,\
  37,44,2d,39,42,33,46,2d,37,39,39,34,37,37,30,34,42,30,36,35,7d,00,54,63,70,\
  69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,65,72,66,61,63,65,73,5c,\
  7b,39,39,39,46,34,35,39,36,2d,45,34,35,34,2d,34,46,34,31,2d,41,45,31,42,2d,\
  41,36,32,46,35,31,42,32,37,39,32,36,7d,00,00
"NumInterfaces"=dword:00000002
"IpInterfaces"=hex:2a,da,49,42,f9,09,7d,48,9b,3f,79,94,77,04,b0,65,96,45,9f,99,\
  54,e4,41,4f,ae,1b,a6,2f,51,b2,79,26

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters\{463DF0EB-5915-4AB2-93D5-8FE51DCB4C1C}]
"LLInterface"=""
"IpConfig"=hex(7):54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,\
  65,72,66,61,63,65,73,5c,7b,34,36,33,44,46,30,45,42,2d,35,39,31,35,2d,34,41,\
  42,32,2d,39,33,44,35,2d,38,46,45,35,31,44,43,42,34,43,31,43,7d,00,00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\DNSRegisteredAdapters]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{4249DA2A-09F9-487D-9B3F-79947704B065}]
"UseZeroBroadcast"=dword:00000000
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"EnableDeadGWDetect"=dword:00000001
"DontAddDefaultGateway"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{463DF0EB-5915-4AB2-93D5-8FE51DCB4C1C}]
"UseZeroBroadcast"=dword:00000000
"EnableDeadGWDetect"=dword:00000001
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):31,37,32,2e,31,38,2e,36,39,2e,31,36,32,00,00
"SubnetMask"=hex(7):32,35,35,2e,32,35,35,2e,32,35,35,2e,32,32,34,00,00
"DefaultGateway"=hex(7):31,37,32,2e,31,38,2e,36,39,2e,31,36,31,00,00
"DefaultGatewayMetric"=hex(7):30,00,00
"NameServer"="208.67.222.222,208.67.220.220"
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00
"NTEContextList"=hex(7):30,78,30,30,30,30,30,30,30,32,00,00
"DhcpClassIdBin"=hex:
"DhcpServer"="255.255.255.255"
"Lease"=dword:00000e10
"LeaseObtainedTime"=dword:475e71c3
"T1"=dword:475e78cb
"T2"=dword:475e7e11
"LeaseTerminatesTime"=dword:475e7fd3
"IPAutoconfigurationAddress"="0.0.0.0"
"IPAutoconfigurationMask"="255.255.0.0"
"IPAutoconfigurationSeed"=dword:00000000
"AddressType"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{999F4596-E454-4F41-AE1B-A62F51B27926}]
"UseZeroBroadcast"=dword:00000000
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"EnableDeadGWDetect"=dword:00000001
"DontAddDefaultGateway"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\PersistentRoutes]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Winsock]
"UseDelayedAcceptance"=dword:00000000
"HelperDllName"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,\
  6d,33,32,5c,77,73,68,74,63,70,69,70,2e,64,6c,6c,00
"MaxSockAddrLength"=dword:00000010
"MinSockAddrLength"=dword:00000010
"Mapping"=hex:0b,00,00,00,03,00,00,00,02,00,00,00,01,00,00,00,06,00,00,00,02,\
  00,00,00,01,00,00,00,00,00,00,00,02,00,00,00,00,00,00,00,06,00,00,00,00,00,\
  00,00,00,00,00,00,06,00,00,00,00,00,00,00,01,00,00,00,06,00,00,00,02,00,00,\
  00,02,00,00,00,11,00,00,00,02,00,00,00,02,00,00,00,00,00,00,00,02,00,00,00,\
  00,00,00,00,11,00,00,00,00,00,00,00,00,00,00,00,11,00,00,00,00,00,00,00,02,\
  00,00,00,11,00,00,00,02,00,00,00,03,00,00,00,00,00,00,00

Notare come il rootkit apra una porta random sia come numero che come descrizione mettendosi in ascolto nella lan...il pc server sarà colui che reinfetterà eventuali pc che verranno ripuliti senza aver finito correttamente l'opera,per questo è fondamentale tenere il pc scollegato dalla rete dalla prima fino all'ultima fase.
Mi sto dilungando troppo dunque meglio passare a ciò che penso vi interesserà di più,anche perchè mio malgrado non ho le conoscenze per approfondire l'argomento anzi magari c'e già scappata qualche fregniaccia senza esser manco scesi nel dettaglio
alura...
1)salviamo in locale gmer,avenger,combofix.mbr(tool per ripristinare il master boot record) e la patch KB958644 scaricabile da qui che corregge la vulnerabilità grazie al quale conficker si annida prima sul vostro pc dunque sul resto della rete
2)facciamo un log di gmer da cui potremmo scorgere come vi dicevo prima la dll(che chiamerò wtryc.dll sita in system32 come nel caso di cui sopra) e il servizio con nome random presente sotto HKLM\SYSTEM\CurrentControlSet\Services (parte fissa) e HKLM\SYSTEM\ControlSet00(numero che va da 1 a 9,ocio al log!)\Services
3)riavviate e andate in modalità provvisoria
4)eseguite avenger con questo comando
Files to delete:
C:\Windows\system32\wtryc.dll
C:\Windows\X
C:\Programmi\internet explorer\wtryc.dll
eventuali altri file copia rilevati nel vostro hd,non dovrebbero essercene altri in ogni caso
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh
HKLM\SYSTEM\ControlSet002\Services\wvraoeh

5)il pc si sarà riavviato,andate sempre in modalità provvisoria...consiglio un esecuzione del file mbr.exe dato che in alcuni pc,una volta sbloccata la fetida dll,prima dell'elimazione,ho notato che qualcosa di strano veniva fatto sull'mbr,sicuramente si trattava di rootkit dato che gmer me ne dava evidenza ma non son riuscito a capire se fosse sempre conficker o qualche altro problema...nel dubbio comunque
-copiatevi sto mbr.exe in c:\
-su esegui copiate "c:\mbr.exe --disinfect"

6)riavviate il pc,ancora una volta in modalità provvisoria,dunque installate la patch KB958644
e riavviate il pc amcora in provvisoria
7)eseguite combofix dunque riavviate e accedete in modalità normale
8se la procedura è andata a buon fine noterete che da gmer non si evincerà più nessuna riga anomala,dunque potete ricollegare il pc in rete nonostante i restanti ancora siano infetti,e passate alla macchina successiva

consiglio una scansione ad eventuali pen drive/hard disk esterni collegati ai pc infetti,troverete:
1)file "jwgkvsq.vmx" nel cestino
2)file AutoRun.inf(e non autorun,quello indica solitamente svch0st che è altra roba) alla directory principale

tutto ha inizio dal file .vmx ed eventuali autoplay abilitati,oltre ovviamente al sistema operativo non aggiornato

[wjmat]

Quote:

Originariamente inviato da juninho85

ne son venuto a capo,ecco come
.
.
.
.
.

ottimo
nessuno dei tool riesce nella pulizia?

[Chill-Out]

La dll. malefica non viene caricata dai processi in esecuzione

[juninho85]

Quote:

Originariamente inviato da wjmat

ottimo
nessuno dei tool riesce nella pulizia?

nel mio caso il solo combofix non risolveva il problema.

[juninho85]

Quote:

Originariamente inviato da Chill-Out

La dll. malefica non viene caricata dai processi in esecuzione

eh?

[Chill-Out]

Quote:

Originariamente inviato da juninho85

eh?

la .dll associata al servizio

[juninho85]

Quote:

Originariamente inviato da Chill-Out

la .dll associata al servizio

come no,si carica sotto svchost.exe

[Chill-Out]

Quote:

Originariamente inviato da juninho85

come no,si carica sotto svchost.exe

Ovvio ma la vedi solo nel log di Gmer