Sono passati quasi due anni dal mio ultimo incontro con il malware in questione, ma ero sicuro che prima o poi ci saremmo rincontrati.
In questi due giorni me lo ritrovo ovunque, per questo ho deciso di buttare giù due appunti dove segnare le risorse e gli strumenti che sto utilizzando.
Ovviamente il problema principale in caso di attacco di Conficker è di usare il meno possibile la rete e le chiavette USB in quanto sono i veicoli prescelti dal worm.
Ma nel corso di un attacco alla infrastruttura interna di una PMI, la rimozione del malware senza POTER disconnettere la rete non è facile.
E difatti la good practice raccomanda di operare in modalità SAFE MODE, disattivare il SYSTEM RECOVERY e mettere in sola lettura TUTTE le condivisioni di rete. Tre raccomandazioni, in questo momento, non attuabili a causa dell’intenso uso delle condivisioni di rete dell’infrastruttura.
Le letture più interessanti su Conficker e i metodi di rimozione le trovate qui sotto:
| http://alvise-jk.blogspot.com/2009/01/win32confickerb.html |
| http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99 |
| Gli strumenti li trovate a questi indirizzi: |
| Microsoft Removal Tool |
| Conficker Removal D.exe di Symantec |
| Ovviamente non posso dimenticare il Malwarebytes’ Anti-malware, da utilizzare in versione portable dopo aver aggiornato come di consueto il database delle firme. |
Le copie locali degli strumenti che vi consiglio li trovate qui.
Galdom 
