La nota società di sicurezza Symantec ha scovato in rete una nuova variante del famoso worm che, in base a varie analisi, ha già infettato più di 9 milioni di utenti e di cui avevo già parlato qui

Questo worm ha mostrato fino ad ora la caratteristica di mutare facilmente e sempre più spesso la proprio faccia, aspirando cosi ad essere una delle minacce più pericolose nella storia dei virus. (come il Sasser o il Gromozon).

Nato a ottobre del 2008, sfruttando una c.d. vulnerabilità zero-day di Windows, la sua prima variante, Conficker-B, emersa alla fine dello stesso anno, era riuscita infettare 1 milione di pc in meno di 24 ore: in Italia aveva incominciato a mietere vittime dopo le festività natalizie.

Questa prima variante si caratterizzava per un nuovo metodo di propagazione: attraverso dispositivi removibili. Inoltre il worm bloccava l’accesso ai siti web di società di sicurezza più famose.

A fine febbraio è emersa un ennesima variante, Conficker B++ (alias Conficker-C), che si comportava in maniera piuttosto diversa rispetto alle prime due: la variante B++ non sfruttava più il buco nella vulnerabilità del servizio Server dei sistemi Windows, inizialmente usata per diffondersi in rete.

A questo si aggiunge che la seconda variante installava una backdoor, cosi da creare una Botnet e trasformare il sistema ospite in un pc-zombie.

In particolare, il worm generava una serie di domini (in senso lato, siti web), attendendo che i propri malware writer ne registravano qualcuno, cosicché potevano ricevere nuove istruzioni, nuovi upgrade, e/o trasferire altri software malevoli (proprio grazie a questa backdoor).

Ora, grazie a questa Botnet, il worm è riuscito a trasformarsi nuovamente.

La nuova variante (W32.Downadup.C) inviata alle macchine infette, secondo Symantec, rende ancora più aggressiva e complessa l’infezione: il nuovo update fornisce funzionalità di autodifesa e aumenta il numero di domini utilizzati per l’aggiornamento dello stesso e per l’invio di codice malevolo.

In pratica, quest’ultima variante (su cui ancora si discute il nome) disattiva gli antivirus e altri programmi di sicurezza nel pc infettato, comportandosi cosi alla stregua del famoso worm Bagle, che si trasmette tramite crack e che fin dalla sua prima forma ha sempre conservato la caratteristica di attaccare e rendere inutilizzabili gli antivirus presenti.

Nel mirino di questa ennesima variante di Conficker non solo antivirus, ma anche tool specifici come Gmer, Avenger, Autoruns, Process Explorer e altri.

A questa nuova funzionalità, si aggiunge una novità che ha di fatto vanificato il lavoro di molte società di sicurezza: gli autori del Conficker hanno infatti modificato l’algoritmo con cui il malware crea nuovi siti, cosicché dalle poche centinaia di domini generati quotidianamente nella sua prima variante, con il nuovo codice quel numero sale a 50.000 al giorno!!!

Come aveva già avvisato la società Sophos: a marzo il worm lascerà la sua impronta su nomi di dominio legittimi, la cui unica colpa sarà quella di essere finiti nell’algoritmo di generazione pseudo-casuale che il worm adopera come meccanismo di comunicazione remota tra l’infezione e i suoi autori.

Sophos evidenzia come alcuni di quelli che il worm proverà a contattare in questo mese di marzo risultano già registrati a organizzazioni legittime operanti online, la qual cosa potrebbe portare a disservizi o persino alla messa fuori uso dei server bersagliati dal flood di richieste.

Entro i prossimi giorni, i milioni di pc-zombie punteranno dritti verso domini quali jogli.com (Big Web Great Music), wnsux.com (Southwest Airlines), qhflh.com (Women’s Net in Qinghai Province) e praat.org (Praat: doing phonetics by computer), siti tutti legittimi.

Per evitare di finire gambe all’aria, Sophos consiglia ai diretti interessati (tutti già contattati) di premunirsi contro l’azione del worm, bloccando le redirezioni come nel caso di wnsux.com (che punta a southwest.com) oppure filtrando le richieste HTTP di Conficker (http://nome di dominio/search?q=) attraverso un sistema di proxy e analisi del traffico web.

Questo è un piccolo schema grafico:

Detto questo, niente psicosi e niente allarmismi: le soluzioni sono semplici

1. Aggiornare sempre il nostro sistema operativo, in particolare controllare che sia installata la Patch MS08-067
2. Dotarsi di un Firewall, che filtri sia in entrata e in uscita, ma che soprattutto tenga sotto controllo e vi informi delle connessioni in uscita (vi consiglio soluzione come Comodo oppure Online Armor, entrambi free, dotati di HIPS, che permettono questo genere di controlli)
3. Aggiornare sempre il proprio antivirus e altri antimalware, impostando le configurazioni e l’euristica al max (attenzione ai Falsi Positivi), e fare scansioni settimanali
4. Disabilitare l’autorun (pubblicherò domani un articolo a tal proposito)
5. Utilizzare password d’accesso robuste

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.