You are here

Rimuovere Conficker è semplice ?

Inviato da giovanninews on Ven, 12/06/2009 - 16:55

worm-conficker Qualche giorno fa, mi sono imbattuto, per la prima volta, con tutta probabilità, in quello che chiamano il worm Conficker, del quale ho già parlato tempo fa a questo indirizzo.

Ne ho parlato perchè si stava diffondendo molto nella Rete e mi sembrava opportuno imformarmi ed informare, dando magari anche qualche indicazione su come rimuovere questo worm, letta su qualche sito affidabile della Rete.

La prima cosa che allora ho fatto è stata comunque quella di verificare che era stata scaricata la pacth di Microsoft che risolveva la vulnerabilità del sistema operativo; questo mi ha probabilmente reso immune agli attacchi del pericoloso worm Conficker.

Il caso, in breve, è stato questo: un amico mi avvisa che l' antivirus (AntivirPE) non andava più, per cui ha provato a rimuovere l' antivirus e reinstallarlo senza successo.

Trovandomi dalle sue parti, ho voluto verificare. Effettivamente AntivirPE non si installava ed ho notato anche che ZoneAlarm non veniva eseguito. Il P.C., comunque funzionava bene; altra anomalia era che, avviato task manager, la CPU era utilizzata più del 70%, e non vi era alcuna indicazione sul task che generava questo sovraccarico di lavoro per la CPU.

Provo a scaricare ed installare AVGFree, ma in fase di installazione si blocca (come AntiviPE) con un messaggio di errore "L' applicazione sta cercando di utilizzare una applicazione Win32 non valida !" o qualcosa del genere.

Scarico ed installo CCleaner, ma questo non si avvia; scarico ed installo HijackThis per rimuovere eventuali virus, ma all' avvio anche questo da il solito avviso di errore. Entro quindi nel Registro  Configurazione di Windows, nella cartella HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run e RunOnce per cercare, individuare e rimuovere a mano il processo, ma niente da fare.

Tutti i classici tentativi di rimuovere un potenziale virus non funzionano e quì ho immaginato la presenza del Worm Conficker. Il tempo a mia disposizione scade e vado via, informando l' amico che deve far bloccare dalla banca tutte le richieste che possano pervenire via Internet, fintanto che non riesce a rimuovere il virus risolvendo il problema.

Comunque, se di Conficker si tratta, questo agisce bloccando qualsiasi applicazione conosciuta (da me) adatta a rimuovere questo worm. Desidererei quasi aver preso io il worm Conficker, in modo da poter dare la soluzione più sicura per poterlo rimuovere, ma non ho questa soluzione.

Facendo una ricerca su Internet con Google e cercando con la frase "Rimuovere Conficker", le soluzioni trovate sono tante e si vede che le maggiori case prodruttrici di software antivirus offrono gratuitamente dei tools per rimuovere Conficker; alcuni esempi:

la Eset's a questo indirizzo

McAfee' Stinger a questo indirizzo

Symantec a questo indirizzo

Sophos' a questo indirizzo

F-Secure a questo indirizzo

Altro ottimo articolo sul Worm Conficker che da ulteriori indicazioni e consigli su come rimuovere Conficker è un articolo di 5 pagine di SWZONE a questo indirizzo. Vengono proposti altri tools per rimuovere conficker. tra cui uno da Microsoft ed un altro da BitDefender.

Sono comunque tutte soluzioni che secondo me potrebbero non essere scaricabili dal PC infetto. In rete si trovano anche video che spiegano come rimuovere Conficker proponendo dei tools da scaricare, ma personalmente diffiderei di questi.

Interessante è invece l' articolo pubblicato su LinuxFeed.org a questo indirizzo (indirizzo linuxfeed.org/conficker/virus-conficker-come-rimuoverlo.html non più raggiungibile) dove, oltre a descrivere la procedura per rimuovere Conficker, vengono proposti degli indirizzi alternativi da cui scaricare i tools per rimuovere questo worm, nell' ipotesi che gli indirizzi originali siano bloccati dal worm.

Altro articolo interessante è quello proposto nel sito Ilarialab.com a questo indirizzo  (post ilarialab.com/2009/04/21/verificare-la-presenza-del-worm-conficker-con-nmap/ eliminato dall' autrice) dove si parla di Nmap e si descrive come funziona; Nmap è un analizzatore di rete in grado di verificare se un computer o i computer della rete siano infetti dal worm Conficker.

Commenti

ciao

penso dai sintomi che NON si tratti del famigerato Conficker ma
o del Bagle o del Virut.
molto probabilmente del Bagle...

I sintomi del Conficker sono altri...

Per vedere se è Conficker usa

GMER

al solo avvio se ti dà "applicazione win32 non valida" è Bagle
se ti dà avviso in rosso con presenza di rootkit associati ai servizi è Conficker !

Allora, per rimuovere, disabilita il servizio incriminato , riavvia e poi procedi con gli antivirus/toolkit che usi di solito...

ciao
Claudio

se vuoi altre info contattami qui:

claudio.computerteam(chiocciolina)tiscali.it

Ciao Claudio e ti ringrazio del commento. Non posso purtroppo verificare le tue informazioni, perchè l' amico coinvolto si trova a 100 km. da me; l' avviserò comunque di leggere questo tuo commento e provare a rimuovere il worm, se riesce. Ricordo che comunque, non vi era alcuna indicazione sul servizio.

Anche secondo me non è Conficker. Hai provato in modait provvisoria ? hai notato se per caso non riesci a visuaizzare i file nascosti di sys. ? ed ultima soluzione, hai provato a fare un ripristino a qualche giorno indietro ?

Ciao carissimo

Jena

smiley Ciao Jena, ti ringrazio per l' interessamento. Il problema non è mio, altrimenti l' avrei già risolto. Mi piacerebbe avere quì quel computer per rimuovere il worm, perchè le sfide attirano sempre i ragazzini come me. Non ho tanto tempo per provare le connessioni remote, anche se la scansione da fuori potrebbe essere la soluzione migliore. Magari l' amico ci segue, farà le sue prove, e leggerà alcuni consigli. Io non proverei la scansione in modalità provvisoria, perchè se è entrato in qualche file di configurazione, non avviato dalla modilità provvisoria, se lo può giocare. Potrebbe provare col ripristino, partendo da un giorno precedente al problema, ma se è Conficker, da quello che ho letto, elimina anche i punti per il ripristino. Domani pomeriggio lo chiamo e vi sarò sapere. Ciao.

Ciao Alessandro e grazie per l' ottimo articolo. L' analisi e le strategie da adottare per rimuovere questo worm sono dettagliatissime e saranno certamente molto utili a tutti coloro che si imbatteranno in Conficker. Complimenti anche per il sito che certamente vedrò più approfonditamente.