Avviso relativo a virus per il worm Win32/Conficker

Traduzione articoli Traduzione articoli
Identificativo articolo: 962007 - Visualizza i prodotti a cui si riferisce l?articolo.
Il supporto per Windows Vista Service Pack 1 (SP1) non è più disponibile dal 12 luglio 2011. Per continuare a ricevere gli aggiornamenti della sicurezza per Windows, utilizzare Windows Vista con Service Pack 2 (SP2). Per ulteriori informazioni, fare riferimento alla pagina Web Microsoft riportata di seguito: Per alcune versioni di Windows il servizio di supporto non è più disponibile.
Espandi tutto | Chiudi tutto

In questa pagina

Riepilogo

Le informazioni contenute nel presente articolo della Knowledge Base sono rivolte ad ambienti di lavoro in cui sia presente un amministratore di sistema in grado di implementare le istruzioni qui riportate. Qualora il programma antivirus in uso sia in grado di eliminare efficacemente il virus e di aggiornare tutti i sistemi interessati, la lettura del presente articolo risulterà superflua. Per confermare che il sistema non è infettato dal virus Conficker, procedere all'analisi rapida disponibile sul sito Web all'indirizzo: http://www.microsoft.com/security/scanner/it-it/ Per ulteriori informazioni sul virus Conficker, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Sintomi dell'infezione

Nel caso in cui il computer sia stato infettato da questo worm è possibile che non si riscontrino sintomi o che si verifichino uno o più dei seguenti sintomi:
  • I criteri di blocco degli account vengono elusi.
  • Aggiornamenti automatici, Servizio trasferimento intelligente in background (BITS), Windows Defender e il Servizio di segnalazione errori sono disattivati.
  • I controller di dominio rispondono lentamente alle richieste dei client.
  • La rete è congestionata.
  • Non è possibile accedere a vari siti Web correlati alla protezione.
  • Diversi strumenti correlati alla sicurezza non possono essere eseguiti. Per un elenco di strumenti noti, visitare il seguente sito Web Microsoft, quindi fare clic su Technical Information (Analysis) per informazioni dettagliate sul virus Win32/Conficker.D. Per ulteriori informazioni visitare il sito Web Microsoft all'indirizzo:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Per ulteriori informazioni su Win32/Conficker, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Metodi di propagazione

Win32/Conficker utilizza più metodi di propagazione. Fra di essi figurano i seguenti:
  • Sfruttamento della vulnerabilità corretta dall'aggiornamento della protezione 958644 (MS08-067)
  • Utilizzo delle condivisioni di rete
  • Utilizzo della funzionalità AutoPlay
Pertanto è necessario prestare attenzione quando si pulisce una rete in modo che la minaccia non venga reintrodotta nei sistemi già puliti.

Nota La variante Win32/Conficker.D non si estende a unità rimovibili o condivise in rete. Win32/Conficker.D viene installato da varianti precedenti di Win32/Conficker.

Prevenzione

  • Utilizzare password di amministrazione sicure che siano univoche per ogni computer.
  • Non accedere a computer utilizzando credenziali Domain Admin o altre credenziali che consentono l'accesso a tutti i computer.
  • Assicurarsi che a tutti i sistemi siano stati applicati gli aggiornamenti della protezione più recenti.
  • Disabilitare le funzionalità di esecuzione automatica. Per ulteriori informazioni vedere la sezione "Creazione di un oggetto Criteri di gruppo al passaggio 3 di questo articolo.
  • Rimuovere eventuali autorizzazioni superflue alle condivisioni di rete, comprese le autorizzazioni di scrittura nella directory radice di ciascuna condivisione.

Passaggi cautelativi

Arrestare la diffusione di Win32/Conficker utilizzando le impostazioni di Criteri di gruppo

Note
  • Importante Prendere nota delle impostazioni correnti prima di effettuare le modifiche indicate nel presente articolo.
  • La procedura non consente di rimuovere il malware Conficker dal sistema, ma solo di arrestarne la diffusione. Per rimuovere il malware Conficker dal sistema, è necessario utilizzare un prodotto antivirus In alternativa, attenersi ai passaggi descritti nella sezione "Procedura per la rimozione manuale del virus Win32/Conficker" del presente articolo della Knowledge Base per procedere manualmente alla rimozione del malware dal sistema.
  • Potrebbe risultare impossibile installare correttamente applicazioni, service pack o altri aggiornamenti, anche qualora siano presenti le condizioni di autorizzazione raccomandate nei seguenti passaggi. Ciò include, a titolo esemplificativo, l'impossibilità di applicare aggiornamenti tramite Windows Update, tramite il server Microsoft Windows Server Update Services (WSUS) e System Center Configuration Manager (Configuration Manager 2007), in quanto tali prodotti dipendono da componenti di Aggiornamenti automatici. Assicurarsi di ripristinare le autorizzazioni predefinite una volta ripulito il sistema.
  • Per informazioni sulle autorizzazioni predefinite per la chiave del Registro di sistema SVCHOST e la cartella Attività menzionate nella sezione "Creazione di un oggetto Criteri di gruppo", vedere la Tabella autorizzazioni predefinite alla fine del presente articolo.

Creazione di un oggetto Criteri di gruppo

Creare un nuovo oggetto Criteri di gruppo (GPO) applicabile a tutti i computer di un'unità organizzativa specifica (OU), sito o dominio, in base alle esigenze dell'ambiente specifico.

A questo scopo, attenersi alla seguente procedura:
  1. Impostare il criterio per rimuovere le autorizzazioni scritte dalla seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Ciò impedirà la creazione del servizio malware con nome casuale nel valore del Registro di sistema netsvcs.

    A questo scopo, attenersi alla seguente procedura:
    1. Aprire la Console di gestione per Criteri di gruppo (GPMC).
    2. Creare un nuovo GPO. Fornire un nome.
    3. Aprire il nuovo GPO, quindi spostarlo nella cartella seguente:
      Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Registro di sistema
    4. Fare clic con il pulsante destro del mouse su Registro di sistema e scegliere Aggiungi chiave.
    5. Nella finestra di dialogo Selezione chiave del Registro di sistema, espandere Automatico, quindi andare alla cartella seguente:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Scegliere OK.
    7. Nella finestra di dialogo che viene visualizzata, deselezionare la casella di controllo Controllo completo per Amministratori e Sistema.
    8. Scegliere OK.
    9. Nella finestra di dialogo Aggiungi oggetto, fare clic su Sostituisci le autorizzazioni per le sottochiavi esistenti.
    10. Scegliere OK.
  2. Impostare il criterio per la rimozione delle autorizzazioni di scrittura dalla cartella %windir%\Attività. Questo impedirà al malware Conficker di creare operazioni pianificate che possono reinfettare il sistema.

    A questo scopo, attenersi alla seguente procedura:
    1. Nello stesso GPO precedentemente creato, andare alla seguente cartella:
      Configurazione computer\Impostazioni di Windows\Impostazioni protezione\File System
    2. Fare clic con il pulsante destro del mouse su File System, quindi su Aggiungi file.
    3. Nella finestra di dialogo Aggiungi un file o una cartella, portarsi nella cartella %windir%\Attività. Assicurarsi che Attività sia evidenziato ed elencato nella finestra di dialogo Cartella.
    4. Scegliere OK.
    5. Nella finestra di dialogo successiva fare clic per cancellare i segni di spunta dalle caselle di controllo Controllo completo, Modifica e Scrittura per Administrators e System.
    6. Scegliere OK.
    7. Nella finestra di dialogo Aggiungi oggetto, fare clic su Sostituisci le autorizzazioni per le sottochiavi esistenti.
    8. Scegliere OK.
  3. Disattivare le funzioni di riproduzione ed esecuzione automatica. In questo modo è possibile impedire la diffusione del malware Conficker utilizzando le funzioni di riproduzione automatica di Windows.

    Note A seconda della versione di Windows in uso, sono disponibili aggiornamenti diversi che dovranno essere correttamente installati per poter disabilitare la funzione di esecuzione automatica.
    • Per disabilitare la funzione di esecuzione automatica in Windows Vista o in Windows Server 2008 è necessario aver installato l'aggiornamento della protezione 950582 (descritto nel Bollettino Microsoft sulla sicurezza MS08-038).
    • Per disabilitare la funzione di esecuzione automatica in Windows XP, Windows Server 2003, o in Windows 2000, è necessario aver installato l'aggiornamento della protezione 950582, l'aggiornamento 967715 o l'aggiornamento 953252.
    Per disabilitare le funzionalità di esecuzione e riproduzione automatica, attenersi alla procedura seguente:
    1. Nello stesso GPO precedentemente creato, andare a una delle seguenti cartelle:
      • per un dominio Windows Server 2003, andare alla cartella:
        Configurazione computer\Modelli amministrativi\Sistema
      • per un dominio Windows 2008, andare alla cartella:
        Configurazione computer\Modelli amministrativi\Componenti di Windows\Criteri di Autoplay
    2. Aprire il criterio Disattiva Autoplay.
    3. Nella finestra di dialogo Disattiva Autoplay, fare clic su Attiva.
    4. Nel menu a discesa, fare clic su Tutte le unità.
    5. Scegliere OK.
  4. Chiudere la console Gestione criteri di gruppo.
  5. Collegare il nuovo GPO alla posizione a cui si desidera applicarlo.
  6. Attendere che le impostazioni Criteri di gruppo vengano distribuite a tutti i computer. In genere, sono necessari 5 minuti affinché la replica del criterio di gruppo esegua una replica a ogni controller di dominio e 90 minuti per la replica ai sistemi restanti. Due ore potrebbero essere sufficienti. Tuttavia, potrebbe essere necessario più tempo in base all'ambiente.
  7. Una volta completata la propagazione delle impostazioni Criteri di gruppo, è possibile pulire il sistema eliminando il malware.

    A questo scopo, attenersi alla seguente procedura:
    1. Eseguire un'analisi antivirus completa su tutti i computer.
    2. Se il software antivirus non rileva Conficker, è possibile utilizzare Microsoft Safety Scanner per eliminare il malware. Per ulteriori informazioni, visitare la seguente pagina Web Microsoft: http://www.microsoft.com/security/scanner/it-it/Nota È possibile che si debbano effettuare alcuni passaggi manualmente per eliminare tutti gli effetti del malware. In alternativa, attenersi ai passaggi descritti nella sezione "Procedura per la rimozione manuale del virus Win32/Conficker" del presente articolo della Knowledge Base per procedere manualmente alla rimozione del malware dal sistema.

Ripristino

Eseguire Microsoft Safety Scanner.

Microsoft Malware Protection Center ha aggiornato Microsoft Safety Scanner. Si tratta di un file binario autonomo utile nella rimozione di software dannoso prevalente e che è in grado di rimuovere la famiglia di malware Win32/Conficker.

Nota Microsoft Safety Scanner non impedisce la reinfezione perché non è un programma antivirus in tempo reale.

È possibile scaricare Microsoft Safety Scanner dal seguente sito Web Microsoft:
http://www.microsoft.com/security/scanner/it-it/

Nota Anche lo Strumento autonomo pulizia sistema è in grado di rimuovere questa infezione. Questo strumento è disponibile come componente del Microsoft Desktop Optimization Pack 6.0 o tramite il Servizio Supporto Tecnico Clienti Microsoft. Per ottenere lo strumento visitare il seguente sito Web Microsoft:
http://www.microsoft.com/it-it/windows/enterprise/products-and-technologies/mdop/default.aspx
Se nel sistema sono in esecuzione Microsoft Security Essentials o Microsoft Forefront Client Security, tali programmi sono in grado di bloccare il programma indesiderato prima che venga installato.

Procedura per la rimozione manuale del virus Win32/Conficker

Note
  • Questa procedura manuale non è più necessaria e dovrebbe essere utilizzata unicamente se non si dipone di software antivirus per rimuovere il virus Conficker.
  • A seconda della variante di Win32/Conficker variant con cui è infettato il computer, alcuni dei valori indicati in questa sezione potrebbero non essere stati modificati dal virus.
Attenersi alla seguente procedura dettagliata per rimuovere manualmente Conficker da un computer:
  1. Accedere al sistema utilizzando un account locale.

    Importante Non accedere al sistema utilizzando un account di dominio, se possibile. In particolare, non accedere utilizzando un account di amministratore di dominio. Il malware impersona l'utente che ha eseguito l'accesso e accede alle risorse di rete utilizzando le credenziali dell'utente che ha eseguito l'accesso. Questo comportamento consente la diffusione del malware.
  2. Arrestare il servizio Server. Ciò consente di rimuovere le condivisioni ADMIN dal sistema affinché il malware non possa diffondersi in questo modo.

    Nota Il servizio Server deve essere disattivato solo temporaneamente mentre si rimuove il malware dall'ambiente. Ciò vale soprattutto per i server di produzione in quanto tale operazione incide sulla disponibilità delle risorse di rete. Non appena l'ambiente è stato ripulito, il servizio Server può essere riattivato.

    Per arrestare il servizio Server, utilizzare lo snap-in Servizi di Microsoft Management Console (MMC). A questo scopo, attenersi alla seguente procedura:
    1. A seconda del sistema in uso, effettuare quanto segue:
      • In Windows Vista e Windows Server 2008 fare clic sul pulsante Start, digitare services.msc nella casella Inizia ricerca, quindi fare clic su services.msc nell'elenco Programmi.
      • In Windows 2000, Windows XP e Windows Server 2003 fare clic sul pulsante Start, scegliere Esegui, digitare services.msc, quindi scegliere OK.
    2. Fare doppio clic su Server.
    3. Scegliere Arresta.
    4. Nella casella Tipo di avvio selezionare Disabilitato.
    5. Scegliere Applica.
  3. Rimuovere tutte le attività pianificate create da AT. A tal fine, digitare AT/Delete/Yes al prompt dei comandi.
  4. Arrestare il servizio Utilità di pianificazione.
    • Per arrestare il servizio Utilità di pianificazione in Windows 2000, Windows XP e Windows Server 2003, utilizzare lo snap-in Servizi di Microsoft Management Console (MMC) o l'utilità SC.exe.
    • Per arrestare il servizio Utilità di pianificazione in Windows Vista o in Windows Server 2008, attenersi alla procedura riportata di seguito.

      Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore protezione, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      322756 Esecuzione del backup e del ripristino del Registro di sistema in Windows
      1. Fare clic sul pulsante Start, digitare regedit nella casella Inizia ricerca, quindi fare clic su regedit.exe nell'elenco Programmi.
      2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. Nel riquadro destro fare clic con il pulsante destro del mouse sulla voce DWORD Start, quindi scegliere Modifica.
      4. Nella casella Dati valore digitare 4, quindi scegliere OK.
      5. Chiudere l'editor del Registro di sistema e riavviare il computer.

        Nota Il servizio relativo all'Utilità di pianificazione dovrebbe essere disabilitato solo temporaneamente mentre si ripulisce il proprio ambiente dal malware. Ciò è particolarmente applicabile a Windows Vista e Windows Server 2008 in quanto questo passaggio interessa varie operazioni pianificate incorporate. Una volta ripulito l'ambiente, riabilitare il servizio Server.
  5. Scaricare e installare manualmente l'aggiornamento della protezione 958644 (MS08-067). Per ulteriori informazioni, visitare il seguente sito Web Microsoft:
    http://technet.microsoft.com/it-it/security/bulletin/ms08-067
    Nota Questo sito potrebbe essere bloccato a causa dell'infezione dovuta al malware. In tal caso è necessario scaricare l'aggiornamento da un computer non infetto e quindi trasferire il file dell'aggiornamento sul sistema infetto. È consigliabile masterizzare l'aggiornamento su un CD in quanto i CD masterizzati non sono scrivibili e pertanto non possono essere infettati. Se non è disponibile un'unità per la masterizzazione di CD, il solo modo per copiare l'aggiornamento sul sistema infetto può essere l'utilizzo di un'unità di memoria USB rimovibile. Se si utilizza un'unità rimovibile, considerare la possibilità che il malware la infetti con un file Autorun.inf. Dopo avere copiato l'aggiornamento sull'unità rimovibile, mettere quest'ultima in modalità di sola lettura qualora tale opzione sia disponibile. In genere, se disponibile, la modalità di sola lettura viene attivata utilizzando un interruttore fisico presente sul dispositivo. Quindi, dopo avere copiato il file dell'aggiornamento sul computer infetto, controllare l'unità rimovibile per vedere se vi è stato scritto un file Autorun.inf. In caso affermativo, rinominare il file Autorun.inf con un nome diverso, ad esempio Autorun.bad, in modo che non possa essere eseguito quando l'unità rimovibile verrà connessa a un computer.
  6. Reimpostare le password di amministratore locale e amministratore di dominio sostituendole con una nuova password complessa. Per ulteriori informazioni, visitare il seguente sito Web Microsoft:
    http://technet.microsoft.com/it-it/library/cc875814.aspx
  7. Nell'editor del Registro di sistema individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sulla voce netsvcs, quindi scegliere Modifica.
  9. Se il computer è infettato dal virus Win32/Conficker, verrà elencato un servizio con un nome casuale.

    Nota Con Win32/Conficker.B, il nome del servizio era composto da caratteri casuali ed appariva in fondo all'elenco. In varianti successive, il nome del servizio potrebbe trovarsi in qualsiasi posizione dell'elenco e potrebbe apparire più legittimo rispetto al predecessore. Se il nome di servizio casuale non si trova in fondo all'elenco, confrontare il sistema con la tabella dei servizi fornita nella presente procedura per determinare quale servizio potrebbe essere stato aggiunto da Win32/Conficker. Per effettuare la verifica, confrontare l'elenco nella tabella dei servizi con un sistema simile in cui è presente l'infezione.

    Prendere nota del nome del servizio malware. Tale informazione sarà necessaria nel prosieguo della procedura.
  10. Eliminare la riga contenente il riferimento al servizio malware. Assicurarsi di lasciare un avanzamento riga vuoto dopo l'ultima voce valida, quindi fare clic su OK.

    Note sulla tabella dei servizi
    • Tutte le voci nella tabella dei servizi sono voci valide, ad eccezione degli elementi evidenziati in grassetto.
    • Gli elementi evidenziati in grassetto sono esempi di voci che il virus Win32/Conficker potrebbe aggiungere al valore netsvcs nella chiave del Registro di sistema SVCHOST.
    • L'elenco dei servizi potrebbe non essere completo, a seconda dei componenti installati nel sistema.
    • La tabella dei servizi qui riportata proviene da un'installazione predefinita di Windows.
    • La voce viene aggiunta all'elenco dal virus Win32/Conficker tramite una tecnica di oscuramento. La voce dannosa evidenziata, che dovrebbe somigliare ad una voce legittima, ha come primo carattere una "L" minuscola. In realtà, tale carattere dovrebbe essere una "I" maiuscola, poiché nel carattere utilizzato dal sistema operativo la "I" maiuscola e la "L" minuscola sono visualizzate allo stesso modo.

    Tabella dei servizi

    Riduci questa tabellaEspandi questa tabella
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    TemiTemiBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedAccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedAccessSharedAccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedAccessSchedule
    wuauservwuauservTemiSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiTemi
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcpianificazionehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    pianificazionehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. In una procedura precedente si era presa nota del nome del servizio malware. Nel nostro esempio, il nome della voce malware è "Iaslogon." Utilizzando questa informazione attenersi alla procedura seguente:
    1. Nell'editor del Registro di sistema Individuare e fare clic sulla seguente sottochiave del Registro di sistema, dove NomeServizioMalware sta per il nome del servizio malware:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Individuare, ad esempio, la seguente sottochiave del Registro di sistema e fare clic su di essa:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Fare clic con il pulsante destro del mouse sulla sottochiave nel riquadro di spostamento relativo al nome del servizio malware, quindi scegliere Autorizzazioni.
    3. Nella finestra di dialogo Autorizzazioni per SvcHost fare clic su Avanzate.
    4. Nell'elenco Impostazioni di protezione avanzate fare clic per selezionare entrambe le seguenti caselle di controllo:
      Eredita da padre le voci di autorizzazione applicabili agli oggetti figlio. Aggiungi tali autorizzazioni a quelle qui specificate.

      Sostituisci le autorizzazioni su tutti gli oggetti figlio con le autorizzazioni appropriate qui specificate.
  12. Premere F5 per aggiornare l'editor del Registro di sistema. Nel riquadro dei dettagli, è ora possibile visualizzare e modificare la DLL del malware che viene caricata come "ServiceDll". A questo scopo, attenersi alla seguente procedura:
    1. Fare doppio clic sulla voce ServiceDll.
    2. Prendere nota del percorso della DLL di riferimento. Tale informazione sarà necessaria nel prosieguo della procedura. Ad esempio, il percorso della DLL di riferimento potrebbe essere simile al seguente:
       %SystemRoot%\System32\doieuln.dll
      Rinominare il riferimento in modo analogo al seguente:
       %SystemRoot%\System32\doieuln.old
    3. Scegliere OK.
  13. Rimuovere la voce del servizio malware dalla sottochiave Run del Registro di sistema.
    1. Nell'editor del Registro di sistema individuare e selezionare le seguenti sottochiavi del Registro di sistema:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. In entrambe le sottochiavi, individuare una voce che inizia con "rundll32.exe" e che fa riferimento anche al file DLL malware che viene caricato come "ServiceDll", individuato nel passaggio 12b. Eliminare la voce.
    3. Chiudere l'editor del Registro di sistema e riavviare il computer.
  14. Verificare la presenza di file Autorun.inf nelle unità del sistema. Utilizzare il Blocco note per aprire ciascuno dei file e verificare che si tratti di un file Autorun.inf valido. Di seguito è riportato un esempio di un tipico file Autorun.inf valido:
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Un file Autorun.inf valido in genere ha le dimensioni di 1 o 2 kilobyte (KB).
  15. Eliminare eventuali file Autorun.inf che non sembrano validi.
  16. Riavviare il computer.
  17. Rendere visibili i file nascosti. A questo scopo digitare il seguente comando al prompt dei comandi:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Impostare l'opzione Visualizza cartelle e file nascosti in modo da poter visualizzare il file. A questo scopo, attenersi alla seguente procedura:
    1. Nel passaggio 12b si è preso nota del file dll cui viene fatto riferimento dal malware. Ad esempio, il percorso potrebbe essere simile al seguente:
      %systemroot%\System32\doieuln.dll
      In Windows Explorer aprire la directory %systemroot%\System32 o la directory contenente il malware.
    2. Fare clic su Strumenti e scegliere Opzioni cartella.
    3. Fare clic sulla scheda Visualizzazione.
    4. Selezionare la casella di controllo Visualizza cartelle e file nascosti.
    5. Scegliere OK.
  19. Selezionare il file dll.
  20. Modificare le autorizzazioni per il file al fine di aggiungere Controllo completo per Everyone. A questo scopo, attenersi alla seguente procedura:
    1. Fare clic con il pulsante destro del mouse sul fle dll, quindi scegliere Proprietà.
    2. Fare clic sulla scheda Protezione.
    3. Fare clic su Everyone, quindi selezionare la casella di controllo Controllo completo nella colonna Consenti.
    4. Scegliere OK.
  21. Eliminare il file dll cui viene fatto riferimento dal malware. Ad esempio, eliminare il file %systemroot%\System32\doieuln.dll.
  22. Attivare i servizi BITS, Aggiornamenti automatici, Servizio di segnalazione errori e Windows Defender utilizzando lo snap-in Servizi di Microsoft Management Console (MMC).
  23. Disattivare l'esecuzione automatica per consentire la riduzione degli effetti di qualsiasi ulteriore infezione. A questo scopo, attenersi alla seguente procedura:
    1. A seconda del sistema in uso, installare uno dei seguenti aggiornamenti:
      • Se si utilizza Windows 2000, Windows XP o Windows Server 2003, installare l'aggiornamento 967715. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        967715 Come disattivare la funzionalità di esecuzione automatica in Windows
      • Se si utilizza Windows Vista o Windows Server 2008, installare l'aggiornamento 950582. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
        950582 MS08-038: Possibile esecuzione di codice in modalità remota a causa di vulnerabilità in Esplora risorse
      Nota L'aggiornamento 967715 e l'aggiornamento della protezione 950582 non sono relativi a questo malware. Questi aggiornamenti devono essere installati per abilitare la funzione del Registro di sistema menzionata al passaggio 23b.
    2. Al prompt dei comandi digitare il seguente comando:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. Se nel sistema è in esecuzione Windows Defender, riattivare il percorso di avvio automatico di Windows Defender. A questo scopo digitare il comando riportato di seguito al prompt dei comandi:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide"/f
  25. Per Windows Vista e sistemi operativi successivi, il malware modifica l'impostazione globale per la regolazione automatica della finestra di ricezione TCP, disabilitandola. Per ripristinare tale impostazione, al prompt dei comandi digitare il comando seguente:
    netsh interface tcp set global autotuning=normal
Se dopo avere completato questa procedura il computer sembra essere di nuovo infetto, potrebbe essersi verificata una delle seguenti condizioni:
  • Non è stato rimosso uno dei percorsi di avvio automatico. Ad esempio, non è stata rimossa l'attività AT oppure non è stato rimosso un file Autorun.inf.
  • L'aggiornamento della protezione per MS08-067 non è stato installato correttamente.
Questo malware può modificare altre impostazioni non contemplate nel presente articolo. Per le informazioni più aggiornate su Win32/Conficker, visitare il sito Web Microsoft all'indirizzo:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Verifica della pulizia del sistema

Verificare che i seguenti servizi siano avviati:
  • Aggiornamenti automatici (wuauserv)
  • Servizio trasferimento intelligente in background (BITS)
  • Windows Defender (windefend) (se pertinente)
  • Servizio di segnalazione errori di Windows
A questo scopo digitare i comandi riportati di seguito al prompt dei comandi. Premere INVIO dopo ogni comando:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Dopo l'esecuzione di ciascun comando, verrà visualizzato un messaggio analogo al seguente:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
In questo esempio, "STATE: 4 RUNNING" indica che il servizio è in esecuzione.

Per verificare lo stato della sottochiave SvcHost del Registro di sistema, attenersi alla procedura seguente:
  1. Nell'editor del Registro di sistema individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. Nel riquadro dei dettagli fare doppio clic su netsvcs, quindi esaminare i nomi dei servizi elencati. Scorrere l'elenco fino alla fine. Se il computer è infettato dal virus Win32/Conficker, verrà elencato un servizio con un nome casuale. Nel nostro esempio, il nome della voce malware è "Iaslogon."
Se la procedura descritta non consente di risolvere il problema, contattare il fornitore del software antivirus in uso. Per ulteriori informazioni su questo problema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
49500 Elenco di fornitori di software antivirus
Se non si ha un fornitore di software antivirus o se questi non è di aiuto, contattare il Servizio Supporto Tecnico Clienti Microsoft per maggiori informazioni.

Una volta completamente ripulito l'ambiente

Una volta ripulito completamente l'ambiente, attenersi alla seguente procedura:
  1. Riabilitare il servizio Server e il servizio Utilità di pianificazione.
  2. Ripristinare le autorizzazioni predefinite nella chiave del Registro di sistema SVCHOST e nella cartella Attività. Tali impostazioni vanno riportate allo stato predefinito tramite le impostazioni dei Criteri di gruppo. Se un criterio viene semplicemente rimosso, le autorizzazioni predefinite potrebbero non essere ripristinate. Per ulteriori informazioni, consultare la tabella delle impostazioni predefinite nella sezione "Passaggi cautelativi".
  3. Aggiornare il computer installando gli eventuali aggiornamenti della protezione mancanti. A questo scopo utilizzare Windows Update, il server Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) o un prodotto di gestione degli aggiornamenti di terze parti. Se si utilizza SMS o Configuration Manager 2007, è prima necessario riattivare il servizio Server. In caso contrario, SMS o Configuration Manager 2007 potrebbe non essere in grado di aggiornare il sistema.

Identificazione di sistemi infetti

In caso di problemi nell'identificazione di sistemi infettati da Conficker, consultare le informazioni fornite nel blog TechNet indicato di seguito:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabella autorizzazioni predefinite

Nella tabella seguente vengono riportate le autorizzazioni predefinite per ogni sistema operativo. Tali autorizzazioni sono in vigore prima che si applichino le modifiche suggerite nel presente articolo. Tali autorizzazioni potrebbero variare rispetto alle autorizzazioni presenti nell'ambiente in uso. Si raccomanda pertanto di prendere nota delle proprie autorizzazioni prima di apportare qualsiasi modifica. Questa operazione è necessaria affinché sia possibile ripristinare le impostazioni al termine della procedura di rimozione del virus.
Riduci questa tabellaEspandi questa tabella
Sistema operativo Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
ImpostazioneChiave SvchostCartella AttivitàChiave SvchostCartella AttivitàChiave SvchostCartella AttivitàChiave SvchostCartella AttivitàChiave SvchostCartella Attività
Account
Administrators (Local Group)Controllo completoControllo completoControllo completoControllo completoControllo completoControllo completoControllo completoControllo completoControllo completoControllo completo
SystemControllo completoControllo completoControllo completoControllo completoControllo completoControllo completoControllo completoControllo completoControllo completoControllo completo
Power Users (Local Group)Non applicabileNon applicabileNon applicabileNon applicabileLetturaNon applicabileLetturaNon applicabileLetturaNon applicabile
Users (Local Group)Special Non applicabileSpecialNon applicabileLetturaNon applicabileLetturaNon applicabileLetturaNon applicabile
Applicare a: questa chiave e sottochiaviApplicare a: questa chiave e sottochiavi
Query valoreQuery valore
Enumerazione sottochiaviEnumerazione sottochiavi
NotificaNotifica
Controllo letturaControllo lettura
Utenti autenticatiNon applicabileSpecialNon applicabileSpecialNon applicabileNon applicabileNon applicabileNon applicabileNon applicabileNon applicabile
Applicare a: solo questa cartellaApplicare a: solo questa cartella
Visita cartellaVisita cartella
Visualizzazione contenuto cartellaVisualizzazione contenuto cartella
Attributi letturaAttributi lettura
Attributi estesi letturaAttributi estesi lettura
Creazione fileCreazione file
Autorizzazioni letturaAutorizzazioni lettura
Backup Operators (Local Group)Non applicabileNon applicabileNon applicabileNon applicabileNon applicabileSpecialNon applicabileSpecial
Applicare a: solo questa cartellaApplicare a: solo questa cartella
Visita cartellaVisita cartella
Visualizzazione contenuto cartellaVisualizzazione contenuto cartella
Attributi letturaAttributi lettura
Attributi estesi letturaAttributi estesi lettura
Creazione fileCreazione file
Autorizzazioni letturaAutorizzazioni lettura
EveryoneNon applicabileNon applicabileNon applicabileNon applicabileNon applicabileNon applicabileNon applicabileNon applicabileNon applicabileSpecial
Applicare a: cartella selezionata, le sottocartelle e i file
Visita cartella
Visualizzazione contenuto cartella
Attributi lettura
Attributi estesi lettura
Creazione file
Creazione cartelle
Attributi scrittura
Attributi estesi scrittura
Autorizzazioni lettura

Ulteriore assistenza

  Dagli Stati Uniti è possibile parlare del problema con un operatore, contattando gli assistenti tecnici di Microsoft Answer per ricevere assistenza: 
Answer Desk
Nota: questo è un articolo a "PUBBLICAZIONE RAPIDA", creato direttamente all'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono fornite "così come sono" in risposta alle problematiche riscontrate. A causa della rapidità con cui vengono resi disponibili, i materiali possono contenere errori di battitura e sono soggetti a modifica senza preavviso, in qualsiasi momento. Per altre considerazioni, vedere le Condizioni per l'utilizzo.

Proprietà

Identificativo articolo: 962007 - Ultima modifica: martedì 15 gennaio 2013 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1 alle seguenti piattaforme
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 alle seguenti piattaforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 alle seguenti piattaforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 alle seguenti piattaforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3 alle seguenti piattaforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Service Pack 4 alle seguenti piattaforme
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Chiavi: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com