Alfonso Maruccia

Conficker cambia ancora forma

Il worm pi¨ pestifero e pericoloso degli ultimi mesi continua a fare la parte del leone nell'attuale panorama del malware. Gli specialisti di Symantec analizzano gli upgrade del codice malevolo

Roma - Se non è un'epidemia al livello di Sasser, di certo la minaccia del worm Conficker offre ben più di un motivo di preoccupazione alle società di sicurezza, già coalizzatesi nel prendere di mira la principale funzionalità di controllo della enorme botnet, con tanto di taglia sulla testa degli autori pagata in dollari sonanti da Microsoft in persona. Tutto inutile, a ogni modo, allorché il worm non cessa di evolversi e di adattare le proprie strategie a quelle di contrasto messe in campo dall'industria.

Symantec ha infatti individuato quella che dovrebbe essere la prima occasione (querelle sulla presunta variante Conficker B++ a parte) in cui gli autori del worm diffondono un upgrade al codice malevolo attraverso il meccanismo di generazione pseudo-casuale dei nomi di dominio preso di mira da Microsoft, OpenDNS, Kaspersky, ICANN, Symantec stessa e parecchi altri.

Il nuovo componente inviato alle macchine infette, sostiene Symantec, rende ancora più aggressiva e complessa l'infezione dotando in pratica il worm di funzionalità di autodifesa e, nel contempo, allargando ancora lo spettro dei possibili domini che i malware writer potrebbero decidere di registrare per impartire ordini al network malevolo.
Se infatti il numero di domini generati quotidianamente era di poche centinaia (per la precisione 250), con il nuovo codice quel numero sale a 50mila al giorno. Si tratta di un chiaro tentativo di "aggirare il lavoro di controcospirazione" delle società di sicurezza (lavoro anche noto come "Conficker cabal") nei confronti della botnet, conferma il vice-presidente di Symantec Security Response Vincent Weafer.

Per quanto riguarda i meccanismi di autodifesa, poi, la nuova variante del worm è in grado di attaccare e disabilitare gli antivirus e i tool anti-malware sulla macchina infetta o in via di infezione, rendendo in tal modo più arduo il compito di contrasto e rimozione del malware da parte del software antivirale o di strumenti come il Malicious Software Removal Tool di Microsoft.

L'altro dato interessante dell'upgrade di Conficker è la sua consistenza, e di conseguenza le reali intenzioni degli autori: attualmente Symantec è riuscita a scovare la nuova variante su un numero ridotto di sistemi, e sta analizzando la situazione per capire se si tratti di una sorta di aggiornamento sperimentale oppure se sia soltanto l'inizio di una massiccia fase di rafforzamento della botnet, che secondo le stime conterrebbe da 1 a 10 milioni di PC.

Alfonso Maruccia
19 Commenti alla Notizia Conficker cambia ancora forma
Ordina
  • .... con la patch rilasciata da microsoft a ottobre, rischio lo stesso di beccarmi Conficker e le sue varianti/evoluzioni oppure no ???
  • ma quale no e no

    certo che sì, vengono chiuse alcune falle, altre rimangono aperte quali quella della penna usb e altre ancora
    non+autenticato
  • ...quando useranno la scusa dei "virus" per blindare l'accesso ad internet (ogni riferimento a (dis)onorevoli del PdL e' voluto)...
    non+autenticato
  • Hahaha, tanto io uso Linux XD i problemi sono solo vostri XD


    Il tanto disprezzato pinguino alla fine mi torna utile Sorride
    non+autenticato
  • Lo so suona impopolare quello che sto per dire, ma se i programmatori di conficker riescono a scucire dei soldi a microsoft "anche se non direttamente", vuol dire che sono stati proprio bravi.

    Ci troviamo in balia di un virus perchè il sistema operativo e gli antivirus non sanno fare il loro dovere, tutte e due le cose pagate con soldi "buoni privi di bachi".

    Quindi un plauso agli hacker che continuino a far uscire le falle del sistema operativo e degli antivirus, che ci sono stati venduti come ottimi prodotti per poi rivelarsi delle ciofeche.

    Forse un domani grazie a questi geni, avremo un sistema sicuro....forse...
    non+autenticato
  • > Ci troviamo in balia di un virus perchè il
    > sistema operativo e gli antivirus non sanno fare
    > il loro dovere, tutte e due le cose pagate con
    > soldi "buoni privi di
    > bachi".

    Credo che questa lamentela sia equivalente ad incolpare l'ABS e l'ESP di una macchina per non averci evitato un incidente mentre, invece di guardare la strada, frugavamo nel cassettino portaoggetti del passeggero.

    > Forse un domani grazie a questi geni, avremo un
    > sistema
    > sicuro....forse...

    No, forse succedera` in un futuro molto lontano, e piu` probabilmente mai. Gli "hacker" sono esseri umani, antivirus e sistemi operativi sono programmi in una macchina di Turing. I programmi non sanno programmare con efficienza paragonabile: non lo sapranno fare ancora per molto tempo, e forse mai. Quindi, gli "hacker" hanno il coltello dalla parte del manico, anzi hanno un'infinita` di coltelli, tutti dalla parte del manico.

    La soluzione e` restituire all'utente il controllo del computer con un sistema operativo che sia il piu` possibile trasparente e monitorabile, in modo che l'utente si difenda da solo. Lo dico senza sapere esattamente come farlo, ma credo di saper identificare gli interventi diametralmente opposti a questa filosofia; per esempio:

    - gli installer automatici: l'utente non sa che cosa stanno facendo; deve fidarsi, e non e` detto che tutto quel che fanno sia desiderabile o anche solo immune da effetti collaterali imprevisti;

    - gli automatismi come l'interpretazione dell'html nelle email, l'anteprima automatica di un messaggio appena arrivato (da chi? da qualcuno che mi vuol bene o male?), l'esecuzione di un programma d'installazione all'inserimento di un media rimovibile come un CD-ROM (siamo sicuri che sia il programma d'installazione quello che parte, e non qualcos'altro?);

    - in generale, tutti i punti in cui il sistema si arroga il diritto di eseguire qualcosa senza il consenso dell'utente (che sono molti di piu` del solo famigerato autorun);

    - l'impossibilita` di sapere "cosa e` cosa", realizzata spargendo file eseguibili, librerie dinamiche ed altri componenti di supporto attraverso un albero di directories ("cartelle") troppo complesso e labirintico.

    In ultima analisi, l'utente ha perso il controllo del PC, ma non puo` essere sostituito da un antivirus automatico con la pretesa che sappia fare bene il suo lavoro. Non puo` farlo e non potra` mai farlo, quindi o si cambia filosofia sia da parte dei produttori di sistemi operativi (piu` trasparenza) sia da parte degli utenti (piu` alfabetizzazione), oppure si continua cosi`, ben sapendo cosa aspettarci.
  • > La soluzione e` restituire all'utente il
    > controllo del computer con un sistema operativo
    ...
    > - gli installer automatici: l'utente non sa che
    ...
    > - gli automatismi come l'interpretazione
    ...
    > - in generale, tutti i punti in cui il sistema si
    ...
    > - l'impossibilita` di sapere "cosa e` cosa",
    ...

    I virus c'erano anche quando queste cose non esistevano.
    non+autenticato
  • > I virus c'erano anche quando queste cose non
    > esistevano.

    Si`, ma si sapeva da dove potevano arrivare e come potevano, esattamente, essere eseguiti, ed era quindi molto piu` facile autoproteggersi, con o senza antivirus. Potevano installare un salto virale nell'MBR, o in un eseguibile a cui si accodavano, o nascondersi in settori non allocati dal file system, ma la loro rilevazione era in ogni caso molto, molto piu` semplice: sapevi dove guardare. Quel che voglio dire e` che sapevi che quelli erano i possibili nascondigli occulti, mentre il resto era visibile; certo, a meno che non si comportasse come un rootkit e prendesse a tentare di nascondere le proprie tracce, ma anche cosi` avrebbe dovuto lasciare qualcosa di visibile in un'infrastruttura abbastanza semplice da essere molto piu` controllabile.

    Insomma era come cercare una mosca in uno sgabuzzino piuttosto che nel vehicle assembly building della NASA: la seconda possibilita` e` molto meno fattibile. Il difetto centrale e` la scarsa trasparenza del sistema.
  • Forse non mi sono spiegato bene, il problema sono i coltelli, se il sistema fosse fatto bene non ci sarebbero coltelli da usare,il sistema deve essere senza falle, per gli ingressi dall'esterno del pc dovrebbe essere chiesto all'utente cosa fare, non deve succedere che io clicco su un link che mi manda a una pagina web creata apposta che sfrutta una vulnerabilità, io non devo sapere questo o quello, io clicco e non devono esserci vulnerabilità, un sistema sicuro non ha bisogno di patch, una cassaforte è sicura in ogni suo pezzo, infatti le migliori non si aprono senza i codici giusti, se il proprietario se li dimentica e non li ha comunicati alla società di gestione, non entra nemmeno lui, quindi il sistema deve essere così, non uno scolapasta a cui tappiamo i buchi a man mano che si trovano.
    Noi tutti i giorni usiamo uno scolapasta invece di una pentola!!!
    non+autenticato
  • - Scritto da: Beppe
    > Forse non mi sono spiegato bene, il problema sono
    > i coltelli, se il sistema fosse fatto bene non ci
    > sarebbero coltelli da usare,il sistema deve
    > essere senza falle, per gli ingressi dall'esterno
    > del pc dovrebbe essere chiesto all'utente cosa
    > fare, non deve succedere che io clicco su un link
    > che mi manda a una pagina web creata apposta che
    > sfrutta una vulnerabilità, io non devo sapere
    > questo o quello, io clicco e non devono esserci
    > vulnerabilità, un sistema sicuro non ha bisogno
    > di patch, una cassaforte è sicura in ogni suo
    > pezzo, infatti le migliori non si aprono senza i
    > codici giusti, se il proprietario se li dimentica
    > e non li ha comunicati alla società di gestione,
    > non entra nemmeno lui, quindi il sistema deve
    > essere così, non uno scolapasta a cui tappiamo i
    > buchi a man mano che si trovano.

    Veramente se il proprietario di una cassaforte perde chiave o combinazione basta chiamare chi tel'ha fornita e loro te la aprono, spesso anche un buon fabbro e' in grado di farlo.

    Se conosci cassaforti per cui non sia cosi' ti prego di indicarmi le marche.

    > Noi tutti i giorni usiamo uno scolapasta invece
    > di una pentola!!!
    krane
    22544
  • > Forse non mi sono spiegato bene, il problema sono
    > i coltelli, se il sistema fosse fatto bene non ci
    > sarebbero coltelli da usare,

    No no, ti sei spiegato bene, ma hai concluso chiedendo a un "antivirus" di fare quello che non puo` fare.

    > il sistema deve
    > essere senza falle, per gli ingressi dall'esterno
    > del pc dovrebbe essere chiesto all'utente cosa
    > fare, non deve succedere che io clicco su un link
    > che mi manda a una pagina web creata apposta che
    > sfrutta una vulnerabilità, io non devo sapere
    > questo o quello, io clicco e non devono esserci
    > vulnerabilità,

    Non esistono programmatori al mondo in grado di prevedere tutte le vulnerabilita`. Al massimo, come piacerebbe a me, si potrebbero eliminare tutte le funzionalita` superflue ed affidarsi a un numero molto minore di linee di codice. Meno codice = meno vulnerabilita`.

    Nel tuo esempio, si potrebbero eliminare le pagine web, perche` l'html e` pieno di caratteristiche difficili da gestire senza che si formino falle imprevedibili, anche perche` le varie funzionalita` sono gestite da persone e/o aziende diverse che non possono coordinare facilmente lo sviluppo di tutto l'insieme. Diciamo che, a voler immaginare un'estremizzazione, clicco e il link mi manda a un file di testo non troppo elaborato, ma solo visualizzato. Niente javascripts, niente flash, niente contenuto attivo. La sicurezza non sarebbe una cosa certa lo stesso, ma di certo sarebbe molto piu` improbabile che il semplice rendering di un file di testo consentisse degli exploit.

    > un sistema sicuro non ha bisogno
    > di patch, una cassaforte è sicura in ogni suo
    > pezzo, infatti le migliori non si aprono senza i
    > codici giusti, se il proprietario se li dimentica
    > e non li ha comunicati alla società di gestione,
    > non entra nemmeno lui,

    Una cassaforte la immagino come una scatola di metallo con uno sportello e una serratura. La serratura puo` essere magari sofisticata ma ha un solo scopo e un solo modo di essere usata: una volta che fa il suo lavoro e` a posto.

    > quindi il sistema deve
    > essere così, non uno scolapasta a cui tappiamo i
    > buchi a man mano che si
    > trovano.
    > Noi tutti i giorni usiamo uno scolapasta invece
    > di una
    > pentola!!!

    La dinamica del come si arriva a riempire tutto di falle impreviste funziona cosi`:

    1) qualcuno ha un'idea per far fare qualcosa di utile a un computer e la implementa in un software, che inizialmente dovrebbe essere piuttosto semplice e gestibile (esempio: l'ipertesto come documento che rimanda ad altri documenti tramite collegamenti, ma che a questo livello non sa neanche cosa sia un javascript o anche solo un'immagine nel cui rendering, piu` complesso di quello di un testo, potrebbero esserci punti deboli, come buffer overruns);

    2) gli stessi autori o qualcun'altro ha un'idea per migliorare l'esperienza dell'utente semplificando certi passaggi, altri hanno idee per aggiungere caratteristiche che sarebbero utili a una minoranza di utenti (nell'esempio arrivano le immagini, le GIF animate, i javascript, i frames ed i frames interni come quello in cui scrivi una risposta su questi forum, poi arriva Macromedia che tira fuori Flash, eccetera);

    3) gli sviluppatori accettano di implementare quello che e` stato richiesto e il software comincia a crescere moltissimo in volume e complessita`;

    4) il software smette di complicarsi molto dopo che ha superato il limite per cui gli sviluppatori sono in grado di prevederne tutte, o almeno quasi tutte, le reazioni, ed evitare i comportamenti imprevisti che, col senno di poi, risultano dannosi.

    Quindi per come la vedo io, il nocciolo della questione sarebbe intervenire sui punti 2 o 3 di cui il 4 e` solo una conseguenza. Se potessi interverrei sul punto 3: gli sviluppatori non accettano di aggiungere caratteristiche potenzialmente pericolose. Ma poi non li pagano.Triste

    Morale: non sono pagati (per quanto con soldi buoni) per sviluppare software ragionevolmente sicuro, ma per rispondere a una serie di richieste capricciose in tempi il piu` possibile brevi. Non hanno tempo di pensare alle falle, ne` se ne fanno un problema, perche` non vengono licenziati se permettono una falla, vengono licenziati se non permettono una caratteristica che molto probabilmente sara` fallata.

    Ma anche se volessero non potrebbero: se li licenziassero per creare software fallato al livello di complessita` attuale, nessuno sopravviverebbe al lavoro. E` fuori controllo, fuori misura, irrimediabile da tanto tempo. E un antivirus non rimediera` mai un cavolo.
  • infatti gli antivirus moderni sono poco più che dei rogue software

    solo che se si chiamano antivirusxp e sono fatti in ucraina, allora sono cattivi e vanno banditi, se si chiamano norton e sono fatti negli usa allora sono buoni, bravi, forti e capaci

    sono anni ormai che predico la disfatta degli antivirus, sono pesanti, consumano risorse e sono inutili
  • > Ci troviamo in balia di un virus perchè il
    > sistema operativo e gli antivirus non sanno fare
    > il loro dovere, tutte e due le cose pagate con
    > soldi "buoni privi di
    > bachi".

    Da 1 a 10 milioni di pc infetti significa da 0,1 a 1% dei pc windows installati al mondo.
    Dire che ci troviamo in balia è quantomeno un'esagerazione.

    Questi pc sono stati infettati perchè con tutta probabilità sono pc lasciati marcire, pc che nessuno mai usa, installati chissà dove: probabilmente quei pc che vedi in ufficio con collegato lo scanner.

    > Quindi un plauso agli hacker che continuino a far
    > uscire le falle del sistema operativo e degli
    > antivirus, che ci sono stati venduti come ottimi
    > prodotti per poi rivelarsi delle
    > ciofeche.

    Un plauso a questi nuovi mafiosi che invece di usare tanica di benzina e pistola usano i pc per farsi pagare il pizzo.

    > Forse un domani grazie a questi geni, avremo
    > sistema
    > sicuro....forse...

    E forse domani grazie a quelli che bruciano i negozi avremo costruzioni completamente ignifughe.
    non+autenticato
  • Non mi funzione

    gilean@ubuntu:~$ sudo apt-get install Conficker
    [sudo] password for gilean:
    Lettura della lista dei pacchetti in corso... Fatto
    Generazione dell'albero delle dipendenze in corso       
    Lettura informazioni sullo stato... Fatto        
    E: Impossibile trovare Conficker
    gilean@ubuntu:~$



    Come mai?
  • è che linux fa schifo, non hanno nemmeno aggiunto conficker nei repositoryA bocca aperta

    ma guarda questi cantinari....puah....
  • > Come mai?

    perchè scrivere un virus albanese per linux è molto più facile: sudo rm -rf /
    non+autenticato
  • SÝ certo, peccato che da qualche tempo quel comando lÝ non funziona pi˙.
    non+autenticato