gaobot.bf / wincrt32.exe

[robyemme]

qualcuno ha preso (ed eliminato) il worm gaobot.bf?
infetta i servers NT creando un nuovo servizio, il "Configuration Loader" ed i clients scrivendo i files "wincrt32.exe" e "winhlpp.exe" nella "winnt\system32", semrpe sui clients scrive la chiave di registro "Configuration Loader" in "HKLM/Software/Microsoft/Windows/Current Versions/Run" e in "HKLM/Software/Microsoft/Windows/Current Versions/RunServices".
Abbiamo provato sia l'antivirus della Trend sia Norton senza successo:dopo aver pulito i clients ed i servers ce lo ritroviamo ancora.
Qualcuno ha un suggerimento ?
Grazie.
Roby

[amvinfe]

E' un worm che sfrutta tre falle Windows
MS03-026
MS03-001
MS03-007
Quindi la prima cosa da verificare è quella di assicurarsi che la/le macchine siano patchate.
Oltre ai valori da te descritti, Gaobot ne aggiunge un terzo (bf) nella chiave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es
Ricordati di guardare anche in Esecuzione automatica, anche lì dovresti trovare il valore
Configuration Loader="wincrt32.exe"
Se sono presenti macchine XP o ME devi anche disabilitare il Ripristino di configurazione del sistema (System Restore), salvo poi riattivarlo a procedura terminata, ricordati inoltre che la procedura di eliminazione file, va fatta dalla modalità provvisoria (tasto F8 al caricamento del sistema operativo).


Marco(amvinfe)

Dimenticavo:
in presenza di una LAN, le verifiche vanno fatte su ogni singola macchina e non connessa.

[robyemme]

grazie Marco, fino ad ora il 3° registro che mi hai segnalato non l'ho mai trovato.
Nel frattempo ho patchato i server ed un client con le patches scaricate da Microsoft.

Ti (vi) farò sapere seil problema si risolverà così.

ciaoe grazie ancora.

roby.