INFORMATICA NUSCANA - Informatica Nuscana di Gianfranco Bruno

Informatica Nuscana di Gianfranco Bruno
ASSISTENZA E VENDITA PRODOTTI INFORMATICI
IN ITALIA E IN TUTTA EUROPA
Informatica Nuscana Home Page
Tel.: 0827/64159
Fax: 0827/1713001

Mappa Interattiva
Carrello Elettronico
Vai ai contenuti

Conficker, eppur si muove

Informatica Nuscana di Gianfranco Bruno
Pubblicato da in SICUREZZA · 11 Aprile 2009

Conficker, eppur si muove



SI TEME UN' INFEZIONE PER 12 MILIONI DI COMPUTER

Roma - Con qualche giorno di ritardo, e senza particolare clamore, Conficker è entrato in funzione. Come previsto, ha abbandonato il download dei suoi "aggiornamenti" attraverso il protocollo HTTP e si è orientato sulla più impalpabile e insidiosa rete P2P costruita a partire dalla terza versione del worm. Ha iniziato a scaricare piccoli pezzetti di codice, altamente cifrati, sulle macchine infette stando bene attento a cancellare le tracce del suo passaggio: è ancora presto per dire quali danni sia in grado di compiere, ma pare proprio che, archiviata la fase di attesa, ora il più celebre malware dai tempi di Storm sia pronto a darsi da fare.

Secondo quanto ricostruito nei laboratori Trend Micro, durante la notte tra il 7 e l'8 aprile è avvenuto un contatto tra una macchina infetta da loro tenuta in osservazione e un nodo del circuito P2P messo in piedi dai creatori di Conficker: un pacchetto di poco più di 100KB è stato depositato nella cartella dei file temporanei di Windows, con all'interno quello che parrebbe alle prime analisi una sorta di keylogger. Secondo quanto riferito, la profonda e complessa cifratura del codice impedirebbe al momento una identificazione certa delle azioni che il nuovo aggiornamento è in grado di compiere, ma le probabilità che il worm sia passato in una fase "attiva" sono piuttosto consistenti.

Una volta completata l'installazione della patch, Conficker provvede a rimuovere ogni traccia dal sistema tentando di occultare ogni prova del suo passaggio: nessuna voce nel registro o nei log a testimonianza delle sue attività, nonostante prosegua nella sua opera di infezione distribuita via web (nel caso in cui le patch al sistema operativo non siano state applicate) dopo aver pure controllato che la macchina su cui risiede sia connessa ad Internet. Infine, un collegamento sembrerebbe esistere tra Conficker e l'altro worm del momento, Waledac.
Quest'ultimo, già noto per le sue attività di spamming, potrebbe in linea di massima essere sotto il controllo degli stessi autori di Conficker. Oppure, circostanza improbabile ma non troppo, due differenti gruppi creatori di malware potrebbero essersi consorziati per portare avanti le proprie attività fuorilegge. Anche tra i criminali, evidentemente, l'unione fa la forza.

Il nuovo pacchetto di Conficker (gli esperti non sono ancora certi se definirla o meno una nuova versione, in questo caso la D, del worm) è programmato per spegnersi il prossimo 3 maggio. Allora si conoscerà la prossima mossa dei cattivoni, anche se è auspicabile che in queste tre settimane le difese e le protezioni messe in campo da utenti, produttori di antivirus e aziende aumentino e si consolidino. Secondo le stime a risultare infetti oggi sarebbero non meno di 3 milioni di sistemi, anche se i più pessimisti si spingono addirittura a valutare in 12 milioni il numero di computer ancora sotto il controllo di Conficker.

A CURA DI PUNTO INFORMATICO




Nessun commento
Informatica Nuscana
© 2008-2019
Tutti i diritti sono riservati
Codice Univoco Fatturazione Elettronica: KRRH6B9

via Largo S. Donato n. 5
83051 Nusco (AV)
Tel.: 0827-64159
P. Iva: 02570110649
Rea CCIAA: AV-171551
Torna ai contenuti