Skip to main content
Valutazione: 

Worm Conficker: protezione di Windows da Conficker

Data di pubblicazione: 6 febbraio 2009 | Ultimo aggiornamento: 10 aprile 2009

Questa pagina è progettata per fornire ai clienti professionisti IT le informazioni necessarie per proteggere i sistemi dal worm Conficker o per ripristinare i sistemi che sono stati infettati.

Gli utenti privati possono visitare la pagina Come proteggersi dal worm del computer Conficker.

Informazioni su Conficker

Il 23 ottobre 2008 Microsoft ha rilasciato un aggiornamento critico per la protezione, MS08-067, per risolvere una vulnerabilità del servizio Server di Windows che, all'epoca del rilascio, era oggetto di attacchi mirati limitati. La vulnerabilità consentiva a un utente malintenzionato anonimo di assumere il controllo totale di un sistema attraverso un attacco di rete, il tipo di vettori in genere associati ai "worm" di rete. Dal rilascio di MS08-067, Microsoft Malware Protection Center (MMPC) ha identificato le varianti seguenti di Win32/Conficker:

 *Anche noto come Conficker B++
 **Anche noto come Conficker.C e Downadup.C

Protezione dei PC da Conficker

  1. Applicare l'aggiornamento della protezione associato a MS08-067. Visualizzare il bollettino sulla sicurezza per ulteriori informazioni sulla vulnerabilità, sul software interessato, sugli strumenti e le informazioni aggiuntive per il rilevamento e la distribuzione, nonché le informazioni sulla distribuzione dell'aggiornamento.
  2. Assicurarsi di eseguire software antivirus aggiornato di un fornitore affidabile, come Forefront Client Security o Windows Live OneCare di Microsoft. Il software antivirus può essere acquisito anche da terze parti affidabili, quali i membri di Virus Information Alliance.
  3. Verificare la disponibilità di protezioni aggiornate per il software o i dispositivi di sicurezza, quali antivirus, sistemi di rilevamento delle intrusioni basati su rete o su host. Il programma MAPP (Microsoft Active Protection Program) consente ai partner di accedere con anticipo alle informazioni sulle vulnerabilità Microsoft. Per un elenco di partner e dei collegamenti alle relative protezioni attive, visitare la pagina Partner MAPP.
  4. Isolare i sistemi legacy utilizzando i metodi descritti nella Guida alla riduzione dei rischi in Microsoft Windows NT 4.0 e Windows 98.
  5. Implementare password complesse, come descritto nel white paper Creazione di criteri per password complesse.
  6. Disabilitare la funzionalità AutoPlay attraverso il Registro di sistema o Criteri di gruppo, come descritto nell' Articolo 967715 della Microsoft Knowledge Base. Microsoft ha rilasciato l' avviso di sicurezza 967940 per notificare agli utenti che gli aggiornamenti che consentono di disabilitare le funzionalità AutoPlay/AutoRun sono stati distribuiti attraverso i canali di aggiornamento automatico.
    NOTA: i clienti Windows 2000, Windows XP e Windows Server 2003 devono distribuire l'aggiornamento associato all' Articolo 967715 della Microsoft Knowledge Base per essere in grado di disabilitare correttamente la funzionalità AutoRun. I clienti Windows Vista e Windows Server 2008 devono distribuire l'aggiornamento della protezione associato al Bollettino Microsoft sulla sicurezza MS08-038 per essere in grado di disabilitare correttamente la funzionalità AutoRun.

Eliminazione di Conficker dai sistemi

Scaricare manualmente lo strumento di rimozione malware su PC non infettati e distribuirlo sui PC infettati per pulire i sistemi.

Sequenza temporale di Conficker

  • Il 21 novembre 2008 MMPC ha identificato Worm:Win32/Conficker.A. Si tratta di un worm che cerca di propagarsi sfruttando la vulnerabilità risolta in MS08-067 tramite attacchi di rete. MMPC ha aggiunto le firme e il rilevamento in Microsoft Forefront, Microsoft OneCare e Windows Live OneCare Safety Scanner lo stesso giorno.
  • Il 25 novembre 2008 MMPC ha diffuso le informazioni su Worm:Win32/Conficker.A tramite il proprio blog.
  • Il 29 dicembre 2008 MMPC ha identificato la seconda variante, Worm:Win32/Conficker.B, e ha aggiunto le firme e il rilevamento a Microsoft Forefront, Microsoft OneCare e Windows Live OneCare Safety Scanner lo stesso giorno.
    NOTA:  Worm:Win32/Conficker.B può essere efficaci sui sistemi in cui è stato applicato l'aggiornamento della protezione associato a MS08-067.
  • Il 31 dicembre 2008 MMPC ha diffuso le informazioni su Worm:Win32/Conficker.B tramite il proprio blog.
  • Il 13 gennaio 2009 MMPC ha incluso la possibilità di rimuovere Worm:Win32/Conficker.A e Worm:Win32/Conficker.B nella versione di gennaio 2009 dello strumento di rimozione malware e ha diffuso le relative informazioni tramite il proprio blog.
  • Il 22 gennaio 2009 MMPC ha fornito informazioni tecniche consolidate su Worm:Win32/Conficker.B sul proprio blog.
  • Il 12 febbraio 2009 il Microsoft Security Response Center (MSRC) ha rilasciato informazioni sui domini a cui i sistemi infettati da Conficker tentano di connettersi. Microsoft ha inoltre annunciato informazioni su una collaborazione con esponenti leader del settore delle tecnologie e del mondo accademico con l'intento di disattivare i domini obiettivo di Conficker.
  • Il 12 febbraio 2009 Microsoft ha annunciato una ricompensa di $ 250.000 per informazioni che possano condurre all'arresto e alla detenzione dei responsabili dell'introduzione illegale su Internet del codice dannoso Conficker. L'offerta Microsoft deriva dal riconoscimento da parte della società che il worm Conficker costituisce un attacco di stampo criminale. Microsoft desidera collaborare con le autorità nell'individuazione dei criminali responsabili. I cittadini di qualsiasi paese hanno titolo alla ricompensa, conformemente alla normativa locale vigente, dal momento che i virus su Internet colpiscono la community Internet a livello mondiale.
  • Il 20 febbraio 2009 MMPC ha fornito informazioni tecniche consolidate su Worm:Win32/Conficker.C sul proprio blog.
  • Il 27 marzo 2009, MMPC ha fornito ulteriori dettagli sulla nuova funzionalità P2P in Worm:Win32/Conficker.D sul proprio blog.

    Chiunque sia in possesso di informazioni sul work Conficker è invitato a contattare le autorità locali competenti in materia internazionale. Inoltre, Microsoft ha attivato la Antivirus Reward Hotline, al numero +1-425-706-1111, e la casella di posta Antivirus Reward Mailbox, con indirizzo avreward@microsoft.com, in cui condividere suggerimenti.

Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di. Se si sceglie di partecipare, quando si lascia il sito Web di verrà visualizzato il sondaggio in linea.

Si desidera partecipare?