Per quanto rappresenti sicuramente la minaccia informatica più chiacchierata di questi mesi, il worm Conficker (noto anche come Downup, Downadup o Kido) rimane una sorta di fantasma pauroso ma silente , un blob letale che si limita a riprodursi ma i cui scopi finali continuano a essere ignoti.
La botnet di Conficker spara spam? Attacchi DDoS dalla potenza devastante? Distribuzione di malware ancora più sofisticati? Buio assoluto, ma parlando di danni collaterali Sophos avvisa che a marzo il worm lascerà la sua impronta su nomi di dominio legittimi , la cui unica colpa sarà quella di essere finiti nell’algoritmo di generazione pseudo-casuale che il worm adopera come meccanismo di comunicazione remota tra l’infezione e i suoi autori.
Ogni giorno Conficker è in grado di generare centinaia di nomi di dominio diversi, attendendo che i malware writer ne registrino uno (o alcuni) e lo (li) usino come tramite per aggiornare il codice del worm, istruire la botnet sulle azioni da compiere o comunque impartire ordini al malware. Microsoft, assieme ad altri giganti dell’IT ha deciso di colpire duro su questo meccanismo di comunicazione remota registrando i nomi di dominio che gli autori del worm potrebbero decidere di registrare a loro volta in un dato periodo temporale e lasciando poco spazio di manovra agli autori.
In realtà esiste anche un altro sistema di “home calling” codificato all’interno del codice del worm, una funzionalità di comunicazione basata su un principio di P2P molto più difficile da combattere rispetto a quella dei nomi di dominio di cui sopra. Tale funzionalità sarebbe la vera “novità” della supposta nuova variante scovata da SRI International , che secondo Symantec non avrebbe fatto altro che “scoprire” il meccanismo già presente all’interno delle varianti sin qui note del worm, Downadup.A e Downadup.B secondo la nomenclatura adoperata della società americana.
Anche se Microsoft si è impegnata in prima persona per scongiurare un eventuale disastro con i nomi di dominio, a ogni modo, Sophos evidenzia come alcuni di quelli che il worm proverà a contattare in questo mese di marzo risultano già registrati a organizzazioni legittime operanti online , la qual cosa potrebbe portare a disservizi o persino alla messa fuori uso dei server bersagliati dal flood di richieste.
Entro i prossimi giorni, i milioni di PC zombificati da Conficker punteranno dritti verso domini quali jogli.com (Big Web Great Music), wnsux.com (Southwest Airlines), qhflh.com (Women’s Net in Qinghai Province) e praat.org (Praat: doing phonetics by computer), e verso altri ancora meno trafficati ma accomunati dalla stessa vulnerabilità a un attacco DDoS dagli effetti prevedibili e, purtroppo, certi.
Per evitare di finire gambe all’aria, Sophos consiglia ai diretti interessati (tutti già contattati) di premunirsi contro l’azione del worm, bloccando le redirezioni come nel caso di wnsux.com (che punta a southwest.com ) oppure filtrando le richieste HTTP di Conficker ( http://nome di dominio/search?q= ) attraverso un sistema di proxy e analisi del traffico web.
Alfonso Maruccia
Ti potrebbe interessare
3 mar 2009