Alfonso Maruccia

Conficker aggredirà anche i domini legittimi

Dal cappello a cilindro del worm più pericoloso degli ultimi tempi potrebbe presto sbucare uno spiacevole coniglio telematico: sarà potenzialmente capace di buttare giù server assolutamente legittimi

Roma - Per quanto rappresenti sicuramente la minaccia informatica più chiacchierata di questi mesi, il worm Conficker (noto anche come Downup, Downadup o Kido) rimane una sorta di fantasma pauroso ma silente, un blob letale che si limita a riprodursi ma i cui scopi finali continuano a essere ignoti.

La botnet di Conficker spara spam? Attacchi DDoS dalla potenza devastante? Distribuzione di malware ancora più sofisticati? Buio assoluto, ma parlando di danni collaterali Sophos avvisa che a marzo il worm lascerà la sua impronta su nomi di dominio legittimi, la cui unica colpa sarà quella di essere finiti nell'algoritmo di generazione pseudo-casuale che il worm adopera come meccanismo di comunicazione remota tra l'infezione e i suoi autori.

Ogni giorno Conficker è in grado di generare centinaia di nomi di dominio diversi, attendendo che i malware writer ne registrino uno (o alcuni) e lo (li) usino come tramite per aggiornare il codice del worm, istruire la botnet sulle azioni da compiere o comunque impartire ordini al malware. Microsoft, assieme ad altri giganti dell'IT ha deciso di colpire duro su questo meccanismo di comunicazione remota registrando i nomi di dominio che gli autori del worm potrebbero decidere di registrare a loro volta in un dato periodo temporale e lasciando poco spazio di manovra agli autori.
In realtà esiste anche un altro sistema di "home calling" codificato all'interno del codice del worm, una funzionalità di comunicazione basata su un principio di P2P molto più difficile da combattere rispetto a quella dei nomi di dominio di cui sopra. Tale funzionalità sarebbe la vera "novità" della supposta nuova variante scovata da SRI International, che secondo Symantec non avrebbe fatto altro che "scoprire" il meccanismo già presente all'interno delle varianti sin qui note del worm, Downadup.A e Downadup.B secondo la nomenclatura adoperata della società americana.

Anche se Microsoft si è impegnata in prima persona per scongiurare un eventuale disastro con i nomi di dominio, a ogni modo, Sophos evidenzia come alcuni di quelli che il worm proverà a contattare in questo mese di marzo risultano già registrati a organizzazioni legittime operanti online, la qual cosa potrebbe portare a disservizi o persino alla messa fuori uso dei server bersagliati dal flood di richieste.

Entro i prossimi giorni, i milioni di PC zombificati da Conficker punteranno dritti verso domini quali jogli.com (Big Web Great Music), wnsux.com (Southwest Airlines), qhflh.com (Women's Net in Qinghai Province) e praat.org (Praat: doing phonetics by computer), e verso altri ancora meno trafficati ma accomunati dalla stessa vulnerabilità a un attacco DDoS dagli effetti prevedibili e, purtroppo, certi.

Per evitare di finire gambe all'aria, Sophos consiglia ai diretti interessati (tutti già contattati) di premunirsi contro l'azione del worm, bloccando le redirezioni come nel caso di wnsux.com (che punta a southwest.com) oppure filtrando le richieste HTTP di Conficker (http://nome di dominio/search?q=) attraverso un sistema di proxy e analisi del traffico web.

Alfonso Maruccia
38 Commenti alla Notizia Conficker aggredirà anche i domini legittimi
Ordina
  • magari che non vada installato?

    grazie
    non+autenticato
  • Questo virus mi ricorda sempre di piu' il fantomatico Progetto 2501 di GhostInTheShell-iana memoria, generatosi dal mare informatico.
    Alla fine acquisira' un'autonomia di comportamento e una consapevolezza di se ?
    Fantascienza ?
    Chissa'...

    "E ora dove andra' questo essere appena nato ? la rete e' vasta e infinita"
    non+autenticato
  • - Scritto da: Giggi Giggi
    > Questo virus mi ricorda sempre di piu' il
    > fantomatico Progetto 2501 di GhostInTheShell-iana
    > memoria, generatosi dal mare informatico.
    > Alla fine acquisira' un'autonomia di
    > comportamento e una consapevolezza di se ?

    Succede una cosa simile anche in X-Files, ad un certo punto era in grado di ordinare il deployment di container con dei server all'interno. Cylon
    non+autenticato
  • Ma solo ad aziende che non fanno uso di prodotti Microsoft.

    Le Certified Partner invece vedranno i loro container con gli ordini scaricati in mare dalle naviere o spediti in giro e mai recapitati.Sorride
    non+autenticato
  • - Scritto da: Ciano
    > - Scritto da: Giggi Giggi
    > > Questo virus mi ricorda sempre di piu' il
    > > fantomatico Progetto 2501 di
    > GhostInTheShell-iana
    > > memoria, generatosi dal mare informatico.
    > > Alla fine acquisira' un'autonomia di
    > > comportamento e una consapevolezza di se ?
    >
    > Succede una cosa simile anche in X-Files, ad un
    > certo punto era in grado di ordinare il
    > deployment di container con dei server
    > all'interno.
    > Cylon

    dovremmo rendere obbligatorio l'inserimento delle leggi della robotica all'interno di programmi e virus

    1) Un virus non può provocare danno a un essere umano o permettere che a causa di una sua negligenza un essere umano riceva danno
    2) Un virus deve obbedire a un essere umano a meno che l'ordine non vada in contrasto con la prima legge
    3) Un virus deve proteggere la propria esistenza a meno che questo non entri in conflitto con la prima e la seconda legge

    volendo c'è anche la legge zero ma mi sembra esagerato

    0) Un virus non può provocare danno all'umanità o permettere che a causa di un suo mancato intervento l'umanità riceva danno

    le leggi 1,2 3 ovviamente vengono modificate di conseguenza: la prima non deve andare in conflitto con la zero, la seconda non deve andare in conflitto con la 1 e la 0 e la terza con 0, 1 e 2

    ok ora ho vaneggiato possiamo andare avanti
    non+autenticato
  • Ma se li fanno apposta per fare danni a cose e persone A bocca aperta
    Al massimo dovrebbero avere una direttiva che li obbliga a non danneggiare i loro creatori, come in Robocop Cylon
    non+autenticato
  • c'è c'è.....riconoscono i computer con tastiere russa e ucraina e non li attaccanoA bocca aperta
  • - Scritto da: pabloski
    > c'è c'è.....riconoscono i computer con tastiere
    > russa e ucraina e non li attaccano
    >A bocca aperta

    hai ragione !
    la realta' supera la fantasia, SkyNet arriviamooooo !
    non+autenticato
  • Anche in teminator (skynet)
    non+autenticato
  • - Scritto da: Ciano
    > - Scritto da: Giggi Giggi
    > > Questo virus mi ricorda sempre di piu' il
    > > fantomatico Progetto 2501 di
    > GhostInTheShell-iana
    > > memoria, generatosi dal mare informatico.
    > > Alla fine acquisira' un'autonomia di
    > > comportamento e una consapevolezza di se ?
    >
    > Succede una cosa simile anche in X-Files, ad un
    > certo punto era in grado di ordinare il
    > deployment di container con dei server
    > all'interno.
    > Cylon

    mi ricordo anch'io quell'episodio, era uno dei primi della prima serie, giusto ?
    non+autenticato
  • - Scritto da: Giggi Giggi
    > mi ricordo anch'io quell'episodio, era uno dei
    > primi della prima serie, giusto ?

    Non saprei esattamente, sicuramente in una delle prime 8 stagioniSorride
    non+autenticato
  • La comunicazione fra Virus e VirusWriter per l'aggiornamento del primo io la vedo cosa semplicissima.

    Basta passare per reti pubbliche, impossibili da bloccare.

    Esempio 1:
    il virus potrebbe collegarsi ad un server IRC, entrare in un canale noto e frequentato e lì aspettare che gli vengano passate informazioni (ad esempio l'indirizzo ip di un server da cui scaricare un aggiornamento) codificate e validate con chiave PGP che ne certifichi la provenienza da parte del VirusWriter.

    Esempio 2:
    il virus potrebbe collegarsi ad un newsserver (quelli dei newsgroup), scaricarsi i messaggi di un newsgroup non moderato e aspettare che vengano passate informazioni codificate e validate con chiave PGP. Si può codificare sia mediante testo in un newsgroup qualsiasi, oppure mediante UUencode o Mime in newsgroup dedicati ai binari.

    Esempio 3:
    stessa cosa ma in una rete P2P.

    Ecc.

    Non mi pare affatto difficile la comunicazione fra Virus e VirusWriter, soprattutto con queste tecniche che non si appoggiano su un sistema abbastanza fallace come quello dei domini in quanto osteggiabile (come infatti si sta facendo), molto più di un messaggio in un newsgroup o qualche riga di chat in irc che evidentemente non può subire alcuna prevenzione.
    non+autenticato
  • - Scritto da: Fallegarr

    > Esempio 1:
    > il virus potrebbe collegarsi ad un server IRC,
    > entrare in un canale noto e frequentato e lì
    > aspettare che gli vengano passate informazioni
    > (ad esempio l'indirizzo ip di un server da cui
    > scaricare un aggiornamento) codificate e validate
    > con chiave PGP che ne certifichi la provenienza
    > da parte del
    > VirusWriter.
    >

    facilmente bloccabile....parliamo di milioni di client che provano a connettersi ad un canale, decisamente facile da individuare


    > Esempio 2:
    > il virus potrebbe collegarsi ad un newsserver
    > (quelli dei newsgroup), scaricarsi i messaggi di
    > un newsgroup non moderato e aspettare che vengano
    > passate informazioni codificate e validate con
    > chiave PGP. Si può codificare sia mediante testo
    > in un newsgroup qualsiasi, oppure mediante
    > UUencode o Mime in newsgroup dedicati ai
    > binari.
    >

    stesso problema di sopra

    > Esempio 3:
    > stessa cosa ma in una rete P2P.
    >

    è la soluzione che è stata adottata proprio per venire incontro ai problemi legati ai C&C basati su IRC

    allo stato attuale ci sono worm che creano una propria rete p2p, mentre altri usano le reti pubbliche kademlia e gnutella

    > Non mi pare affatto difficile la comunicazione
    > fra Virus e VirusWriter, soprattutto con queste
    > tecniche che non si appoggiano su un sistema
    > abbastanza fallace come quello dei domini in
    > quanto osteggiabile (come infatti si sta
    > facendo), molto più di un messaggio in un
    > newsgroup o qualche riga di chat in irc che
    > evidentemente non può subire alcuna
    > prevenzione.

    il problema delle chat è che devi usare un protocollo certo per comunicare....scoperto il protocollo ( questione di pochi giorni ) i gestori dei canali irc implementerebbero filtri appositi

    il p2p con comunicazioni cifrate è l'unico meccanismo ad oggi praticamente invulnerabile

    per quanto invece riguarda i nomi di dominio sono comodi, perchè parliamo di migliaia di nomi generati al giorno ( impossibile per le società antivirus registrarli tutti ), mentre i c&c possono essere occultati tramite fast flux
  • Scusate una domanda.
    Ma i produttori di antivirus che lo stanno studiando sono riusciti a disassemblarlo ?
    Dalle notizie che girano pare che abbiano capito più o meno come si propaga, ma cosa può fare ?
    guast
    1319
  • impossibile disassemblare totalmente una cosa del genere....

    in genere si parte con l'analizzare le comunicazioni tramite un tool tipo wireshark, poi si cerca di disassemblare il motore di encrypting e quindi estrapolare le parti principali del malware

    comunque riguardo la tua domanda, per ora il malware contiene solo la logica di propagazione e comunicazione con il C&C....non c'è nessun componente che esegue azioni maligne specifiche e questo è il problema, perchè non si sa per cosa sarà usato, anche se suppongo che sarà usato un pò per tutto, visto che ha la capacità di installare altro malware a volontà
  • Quindi è solo il componente che prende il controllo della macchina e installa altre applicazioni.
    Poi dopo possono decidere se farne una botnet o installarci dei trojan o qualunque altra cosa gli venga in mente.
    Chiunque sia in mano ha un potenziale pazzesco.
    guast
    1319
  • hai detto bene, un potenziale pazzesco, roba da far venire il mal di testa ai capoccioni della NSA

    e poi dicono che sotto il malware non ci sono i servizi....è un potere troppo grande perchè i servizi possano non considerarlo

    del resto non è un mistero che la russia c'ha ricostruito un Paese sulla cybermafia
  • Confiker vive sui PC con S.O. Microsoft.

    Senza quel humus (http://www.geocities.com/humus_2000/humus.htm) non potrebbe vivere.

    E chi paga per questo?

    E come mai nell'articolo Microsoft viene citato più volte come "Il salvatore" da questo male? e non come "la causa" di questo male?

    Ma almeno abbiate il coraggio di scrivere "Microsoft, visto i casini che combina, ora si prodiga a risolverli".

    E come mai nessuno chiede i danni a sta multinazionale dei pasticci?

    Questa notizia è alla stregua di quelle date ogni giorno su TV e Giornali ossia: fuorvianti, mai false ma incomplete; in modo da non urtare i "padroni".

    La gente deve sapere che usando sul proprio PC di casa Microsoft rischia di diventare un "Arma di distruzione di massa" (un po esagerato questo) in mano ai governi e alle multinazionali, mica agli hacker: quelli sono come i talebani: servono per incutere terrore e mascherare i veri motivi di attacchi informatici e bellici.

    Concludo con: Grazie comunque a P.I. per aver segnalato la notizia, ma caspiterina! siate un minimo più obbiettivi!

    (scusate lo sfogo)

    Ciao.
    non+autenticato
  • ehehe tu la fai facile...
    Troppi interessi dietro a sti incapaci del software (Microsfot).. sarà dura...

    Fanno le porcate più porcate che cisono, eppure la gente ci passa sopra... fai una cazzatina te... ti mettono in croce...

    Ringraziamo la pubblicità e l'incapacità della UE di levargli l'OEM definitivamente...
    Continuate pure a fargli multe, intanto loro continuano a imporre, a non rispettare gli standard W3C e a creare miliardi di danni grazie alle loro incapacità di creare/copiare un S.O..
    non+autenticato
  • ma l'UE ci mangia, le ditte di antivirus ci mangiano e pure i produttori di falsi antivirus ci mangiano

    siamo realisti, l'andazzo attuale conviene a tutti, così come a quegli "incapaci del software" conviene far finta di non essere in grado di impedire il cracking dei loro software

    è come gli USA che da 30 anni lottano a parole contro la droga, ma di anno in anno il raccolto di papavero e coca aumenta sempre più....
  • Toh guarda caso il picco massimo dopo il ritorno in Afghanistan...
    I Talebani da bravi integralisti distruggevano i papaveri nei torritori che occupavano togliendoli ai Mujaheddin.

    Arrivano gli USA che ricacciano i Talebani, ridanno i territori ai Mujaheddin ed ecco che la produzione si impenna...

    Io dico che sono gli USA i maggiori produttori e trafficanti del mondo...
    non+autenticato
  • e il bello è che tramite i media occidentali riescono a far passare una realtà capovolta e cioè che i talebani sono accaniti coltivatori di papavero, cosa che invece sappiamo essere non vera, non fosse altro che sono appunto fanatici integralisti e l'islam guarda caso demonizza le droghe

    ma si sa, chi controlla i media controlla il mondo
  • il tuo discorso non farebbe una grinza se solo non fosse uscita la patch 3mesi PRIMA della nascita del worm

    Di fatto la colpa non è di MS che ha sistemato in tempo un brutto bug, ma dell'utente che non capisce che disattivando gli aggiornamenti automatici mette a rischio sè stesso e gli altri

    - Scritto da: Linux Fedora 10
    > Confiker vive sui PC con S.O. Microsoft.
    >
    > Senza quel humus
    > (http://www.geocities.com/humus_2000/humus.htm)
    > non potrebbe
    > vivere.
    >
    > E chi paga per questo?
    >
    > E come mai nell'articolo Microsoft viene citato
    > più volte come "Il salvatore" da questo male? e
    > non come "la causa" di questo
    > male?
    >
    > Ma almeno abbiate il coraggio di scrivere
    > "Microsoft, visto i casini che combina, ora si
    > prodiga a
    > risolverli".
    >
    > E come mai nessuno chiede i danni a sta
    > multinazionale dei
    > pasticci?
    >
    > Questa notizia è alla stregua di quelle date ogni
    > giorno su TV e Giornali ossia: fuorvianti, mai
    > false ma incomplete; in modo da non urtare i
    > "padroni".
    >
    > La gente deve sapere che usando sul proprio PC di
    > casa Microsoft rischia di diventare un "Arma di
    > distruzione di massa" (un po esagerato questo) in
    > mano ai governi e alle multinazionali, mica agli
    > hacker: quelli sono come i talebani: servono per
    > incutere terrore e mascherare i veri motivi di
    > attacchi informatici e
    > bellici.
    >
    > Concludo con: Grazie comunque a P.I. per aver
    > segnalato la notizia, ma caspiterina! siate un
    > minimo più
    > obbiettivi!
    >
    > (scusate lo sfogo)
    >
    > Ciao.
    non+autenticato
  • - Scritto da: Linux Fedora 10
    > Confiker vive sui PC con S.O. Microsoft.
    >
    > Senza quel humus
    > (http://www.geocities.com/humus_2000/humus.htm)
    > non potrebbe
    > vivere.
    >
    > E chi paga per questo?
    >
    > E come mai nell'articolo Microsoft viene citato
    > più volte come "Il salvatore" da questo male? e
    > non come "la causa" di questo
    > male?
    >
    > Ma almeno abbiate il coraggio di scrivere
    > "Microsoft, visto i casini che combina, ora si
    > prodiga a
    > risolverli".
    >
    > E come mai nessuno chiede i danni a sta
    > multinazionale dei
    > pasticci?
    >
    > Questa notizia è alla stregua di quelle date ogni
    > giorno su TV e Giornali ossia: fuorvianti, mai
    > false ma incomplete; in modo da non urtare i
    > "padroni".
    >
    > La gente deve sapere che usando sul proprio PC di
    > casa Microsoft rischia di diventare un "Arma di
    > distruzione di massa" (un po esagerato questo) in
    > mano ai governi e alle multinazionali, mica agli
    > hacker: quelli sono come i talebani: servono per
    > incutere terrore e mascherare i veri motivi di
    > attacchi informatici e
    > bellici.
    >
    > Concludo con: Grazie comunque a P.I. per aver
    > segnalato la notizia, ma caspiterina! siate un
    > minimo più
    > obbiettivi!
    >
    > (scusate lo sfogo)
    >
    > Ciao.

    Perche la MS se ne frega degli utenti ... e gli utenti se ne fregano di contattarla .. anche perche ci vorrebbe una vita per avere indietro dei risarcimenti ... conosco un sacco di persone che dicono: " ah oggi windows non va .. pazienza, magari domani funziona .. è windows che fa cosi£ ... ma dai ... come se non ci fosse nessuna soluzione .. ma perche non si adoperano meglio .. hanno terminali microsoft su tutto il pianeta .. un minimo di orgoglio e amor del prodotto ci vorrebbe .. non si tirerebbero appresso tanti cancheri da parte della gente, ne flammate da parte di altri.
    Io uso debian al 99% .. pero per quel' 1% svista mi serve .. ( per poter backuppare e gestire il mio nokia n95 .. solo per quello ) ... per quel 10 min che lo uso alla sett non mi crea problemi .. ma se lo usassi di +?? ovviamente vorrei che funzionasse bene ...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)