Conficker removal

Dunque...facciamo per alzate di mano....chi di noi non si è imbattutto in questi giorni nel famigerato Conficker.B?
ottimo vedo che le mani sono molte.....
il malware in questione ha fatto iniziare male l'anno a tutti i reparti IT che non sono riusciti in tempo a fare gli aggiornamenti di sicurezza necessari a proteggere la propria rete o quella dei propri clienti.
Di tempo ce n'è stato tanto (la prima variante del virus risale oramai alla fine di ottobre 2008) ma come al solito i clienti non hanno potuto fermare le proprie macchine in tempo per poter permettere l'aggiornamento oppure l'IT che li seguiva non è stato del tutto impeccabile!
Da non accantonare comunque la responsabilità di Microsoft che, come in questo caso, si è dimenticata un bel buco nei propri sistemi operativi!
beh dirò la mia su come ho affrontato il problema per limitare la propagazione e l'infezione di sistemi non ancora infettati del tutto o come ripulire sistemi del tutto infetti e non protetti senza avere un blocco sul sistema in fase di produzione.
ho creato delle batch ad hoc suddivise per sistema operativo su cui devono essere lanciate:

WIN2000
@echo off
COLOR 18
MODE CON:cols=70 lines=10
TITLE -CONFICKER REMOVAL-
@ECHO OFF
@ECHO ATTENDERE LA CHIUSURA DELLA SCHERMATA E RIAVVIARE IL PC
net user administrator SCEGLIETE UNA PASSWORD COMPLESSA
@ECHO OFF
C:\tmp\w2000\Windows2000-KB958644-x86-ITA.exe /quiet /norestart /log:c:\tmp\w2000\logpatch.txt
@ECHO OFF
C:\tmp\w2000\windows-kb890830-v2.6.exe /quiet /F:Y
@ECHO OFF
copy c:\winnt\debug\mrt.log c:\tmp\w2000\mrt.log
@ECHO OFF
CLS

WINXP
@echo off
COLOR 18
MODE CON:cols=70 lines=10
TITLE -CONFICKER REMOVAL-
@ECHO OFF
@ECHO ATTENDERE LA CHIUSURA DELLA SCHERMATA E RIAVVIARE IL PC
net user administrator SCEGLIETE UNA PASSWORD COMPLESSA
@ECHO OFF
C:\tmp\wxp\Windowsxp-KB958644-x86-ITA.exe /quiet /norestart /log:c:\tmp\wxp\logpatch.txt
@ECHO OFF
C:\tmp\wxp\windows-kb890830-v2.6.exe /quiet /F:Y
@ECHO OFF
copy c:\windows\debug\mrt.log c:\tmp\wxp\mrt.log
@ECHO OFF
CLS

WINVISTA
@echo off
COLOR 18
MODE CON:cols=70 lines=10
TITLE -CONFICKER REMOVAL-
@ECHO OFF
@ECHO ATTENDERE LA CHIUSURA DELLA SCHERMATA E RIAVVIARE IL PC
net user administrator SCEGLIETE UNA PASSWORD COMPLESSA
@ECHO OFF
wusa C:\tmp\vista\Windows6.0-KB958644-x86.msu /quiet /norestart
@ECHO OFF
C:\tmp\vista\windows-kb890830-v2.6.exe /quiet /F:Y
@ECHO OFF
copy c:\windows\debug\mrt.log c:\tmp\vista\mrt.log
@ECHO OFF
CLS


oltre alla batch ovviamente dovete mettere nella cartella tmp\O.S.version il file di installazione della patch http://www.microsoft.com/italy/technet/security/bulletin/ms08-067.mspx e il file di installazione del Malicious Software Removal Tool http://www.microsoft.com/security/malwareremove/default.mspx

ovviamente le versioni per il vostro sistema operativo

impacchettate tutto in un auto estraente di winrar e provate!

questa funzionalità disattiverà le falle di windows andandò a settare una password sull'administrator locale complessa (personalizzatela nella batch), installando in modalità silenziosa la patch che evita la propagazione tramite rete, e infine andando a eseguire in modalità silenziosa il malicious removal tool che scannerizzera e rimuoverà l'eventuale codice dannoso. (solo i file su disco rigido e non le chiavi di registro a loro collegate)

fatto questo non vi rimane che riavviare il pc e a questo punto il virus sarà disattivato!
dopo il riavvio vi consiglio di eseguire GMER (lo trovate su google) che riesce ad individuarvi le chiavi di registro rimaste e al termine della scansione vi permetterà di evidenziare le voci dannose e con il tasto destro del mouse selezionare la cancellazione delle chiavi di registro infette.

questo è tutto!
spero di esservi stati d'aiuto e di avere qualche riscontro da tutti voi!