Rimozione di un rootkit su una rete avente un controller di dominio infetto

In una rete nella quale il controller di dominio è stato infettato con un rootkit, è necessario disinfettare il controller prima di utilizzare Sophos Anti-Rootkit con i rimanenti computer della rete.

Seguire le istruzioni contenute in questo articolo, quindi leggere l'articolo sulla disinfezione della rete.

Cosa fare

1. Disinfezione dei computer principali

Per consentire il processo di disinfezione della rete è necessario disinfettare alcuni dei computer principali:

• un computer "disinfettante" (sheep dip) dotato di masterizzatore CD per i download da Internet
• il controller di dominio.

Il computer "sheep dip" dev'essere dotato di uno dei seguenti sistemi operativi:

• Windows 2000 Server
• Windows 2003 Server
• Windows 2000 Professional
• Windows XP Professional

Deve possedere una connessione a Internet propria, da disconnettere durante la disinfezione, e dovrebbe essere fisicamente isolato dalla rete principale (questa separazione può essere temporanea).

Il computer "sheep dip" deve soddisfare i seguenti requisiti di sistema per poter eseguire EM Library ed Enterprise Console. V. le note di rilascio per le versioni correnti (inglese) di tali prodotti.

Nota Se la directory di installazione centrale (CID) o la libreria di Sophos Anti-Virus (CID) sono già installate in un computer diverso dal controller di dominio, è necessario seguire queste istruzioni anche per quel computer.

1. Utilizzare la versione di Sophos Anti-Rootkit a interfaccia grafica utente per disinfettare il computer "sheep dip" e il controller di dominio. Per maggiori dettagli, consultare il manuale utente (inglese).
2. Utilizzare Sophos Anti-Virus versione 6 o superiore per rimuovere qualsiasi altro malware dal computer "sheep dip".

Prendere nota degli eventuali file non rimossi durante il processo di disinfezione e decidere cosa farne. Tali file potrebbero essere presenti anche su altri computer in rete e ciò potrebbe influire sulla disinfezione della rete intera.

Ora è necessario utilizzare Sophos Anti-Virus per rimuovere qualsiasi malware rimanente dal controller di dominio.

1. Utilizzare la copia di Sophos Anti-Virus installata sul computer "sheep dip" per eseguire un'installazione sul controller di dominio come descritto nell'articolo della knowledge base EM Library: installazione e aggiornamento in una rete sicura di tipo "air gap". Al completamento delle istruzioni per la rete "air gap", il computer "sheep dip" prenderà il posto della rete infetta e il controller di dominio si troverà sulla rete sicura.
2. Durante la procedura, preparare le directory di installazione centrale di Sophos Anti-Virus (CID) per i sistemi operativi della propria workstation, ma non installare le workstation.

2. Preparazione della disinfezione della rete

Prima di disinfettare gli altri computer collegati in rete:

• accertarsi che Sophos Anti-Virus sia stato installato sul controller di dominio e su ogni computer dotato di una CID;
• non installare né disinfettare le workstation finché i computer principali non sono stati disinfettati;
• configurare il criterio antivirus per i computer principali in modo che eseguano la scansione in accesso "in lettura", "in scrittura" e "se rinominati". È possibile eseguire tale operazione in modo centralizzato da Enterprise Console oppure a livello locale al computer. In questo modo ogni tentativo di infettare il controller di dominio durante la disinfezione della rete verrà intercettato.

Eseguire una scansione su ciascuno dei computer principali per assicurarsi che siano liberi dal malware.

Avviso Non riavviare né disconnettere il controller di dominio durante la disinfezione della rete, in quanto potrebbe infettarsi nuovamente.

Ora seguire le istruzioni per la disinfezione dei restanti computer della rete.

NotaDopo aver finito di disinfettare la rete, riconfigurare i criteri antivirus per utilizzare solo la scansione "in lettura".