Minilab Konica Minolta R2 Super 700, capitolo 2: conficker ci mette lo zampino!



Ritorno sull'argomento trattato qualche mese fa: il Minilab Konica Minolta al quale avevo risolto il problema del disco pieno sulla macchina linux che si occupa di gestire i processi di stampa.

Questa volta vengo chiamato per intervenire sulla macchina Windows XP (embedded) che gestisce le procedure di acquisizione e ottimizzazione delle immagini: un vecchio Pentium 4 con 2 Gb di ram e un disco SATA estraibile diviso in 2 partizioni (una per il S.O. e una per i dati). Perchè ci tengo a precisare la presenza di 2 partizioni? Lo scoprirete tra poco...

A quanto pare una cliente aveva portato del materiale da stampare utilizzando una chiavetta: sulla macchina windows che si sarebbe dovuta occupare dell'acquisizione l'assistenza Minolta non ha avuto la premusa di installare un antivirus, quindi inaspettatamente il sistema in questione di blocca e mette in ginocchio il laboratorio.



Al lavoro!


A questo punto mi organizzo: preparo una chiavetta con ClamWin Portable aggiornato con le ultime definizioni e una copia di DriveImage XML e mi metto al lavoro.

Già dai primi secondi di scan, ClamWin rileva la presenza di una vecchia conoscenza: il worm Kido, meglio conosciuto come Conficker.

Come confermato anche da Wikipedia, il worm in questione è stato scoperto nel 2009 ma miete ancora vittime! :-)

Trovo la stessa situazione anche sugli altri dischi 'gemelli': dimenticavo infatti di dire che, per evitare interruzioni di servizio, il proprietario del minilab ha avuto la giusta idea di farsi clonare il disco del sistema windows su altri 2 drive, da usare come sostituti in caso di corruzione di quello attualmente in uso.

Purtroppo, una volta infettato il disco principale, non capendo di cosa si trattasse, ha sostituito il disco con il gemello e tentata nuovamente l'importazione delle immagini, permettendo a Conficker di insidiarsi anche nel secondo disco. Procedura ovviamente ripetuta anche con il terzo supporto. :-D

A disinfestazione terminata facciamo la conta dei danni: solo un disco sembra funzionare correttamente, uno non si avvia, e uno va in BSOD subito dopo lo startup.

Taglio la testa al toro, monto il disco superstite su un bay SATA, salvo un'immagine usando DriveImage XML e la riverso sulla prima partizione dei dischi non funzionanti.

Avvio la macchina con ognuno dei 3 dischi e ne verifico il funzionamento.
Si avviano correttamente ma solo uno presenta ancora un problema: non ne vuole sapere di avviare la procedura di acquisizione delle immagini da pellicola o da supporti esterni.

Un comportamento inaspettato...

La cosa è singolare, trattandosi di una copia speculare degli altri supporti: mi concentro quindi sulla seconda partizione, che contiene un'unica directory chiamata Storage e noto che ha solamente pochi MB liberi.
Il software di gestione, a quanto pare, non restituisce alcum messaggio di errore a riguardo, semplicemente smette di acquisire nuovi media se lo spazio disponibile sulla seconda partizione è in esaurimento.

Una rapida pulizia e anche il terzo disco ricomincia a funzionare.

Magari può essere utile a qualche lettore!

Non so quanti possano essere ancora gli utilizzatori di questo modello di MiniLab, ma spero che la condivisione di queste esperienze possa ritornare utile a qualcuno.

Ho mantenuto inoltre una copia dell'immagine utilizzata per clonare i dischi: trattandosi di oltre 8GB evito di metterla online ma se qualcuno ne avesse bisogno non deve fare altro che contattarmi.