Bloccare i siti contattati dal worm Downadup / Conficker

Il worm Downadup (o Conficker) di recente si è diffuso sui computer con Windows sfruttando una vulnerabilità abbastanza vecchia (la patch risale a fine ottobre 2008) del servizio RPC.

Una delle sue varianti più difficili da rimuovere infetta gli altri computer con diversi metodi: password guessing degli utenti del dominio, duplicazione su network share e supporti rimuovibili (su cui crea un apposito file AUTORUN.INF).

Il worm ogni giorno genera 250 nomi a dominio che tenta di contattare per ricevere aggiornamenti ed eventuali comandi remoti.

L’algoritmo con cui tali indirizzi vengono generati è stato compreso dal team di F-Secure che lo ha sfruttato per fare una specie di censimento dei PC infetti.
Allo stesso modo, F-Secure di tanto in tanto rilascia l’elenco dei domini generati, sotto forma di un file di testo in cui vengono elencati uno per riga.

Vediamo come configurare il proxy Squid e il DNS della rete locale per far sì che i client non possano contattare i siti incriminati, concedendoci il tempo necessario a eradicare il virus dalla rete.

Ho provato Ulteo Desktop

Più che altro ho tentato di provarlo: né dal PC né dal Mac sono riuscito ad andare oltre la visualizzazione della root windows di X.
Boh, ci riproverò tra qualche giorno.
Per ora, l’idea di un dekstop online, non mi pare ’sto granché.

L’importanze del path nel prompt

Sapere in che directory si è quando eseguono comandi come
rm -rf *