Roma - Il famigerato worm
Conficker domina le cronache sulla sicurezza
dallo scorso novembre, ossia da quando la sua prima incarnazione, chiamata
Conficker.A, sfruttò una vulnerabilità di Windows (all'epoca appena corretta) per infettare centinaia di migliaia di PC in brevissimo tempo. Da allora il worm ha continuato a evolversi e aggiornarsi, diventando - a detta di molti esperti di sicurezza -
uno dei malware più insidiosi e sofisticati di sempre. Le stime oggi parlano di un numero di PC infettati da Conficker compreso tra 3 e 10 milioni, PC che formano
la più grande botnet esistente.
Per tentare di sconfiggere questa formidabile minaccia, negli scorsi mesi Microsoft ha sentito la necessità di
allearsi con almeno una dozzina di altre organizzazioni, arrivando persino a
mettere una taglia sulla testa degli autori del
vermicello. Conficker è così temuto che quando i ricercatori di sicurezza hanno scoperto, nel codice della variante C,
una bomba a tempo programmata proprio per "esplodere" oggi, c'è chi non ha esitato a parlare di
D-day.
Ma in queste ore
si assisterà davvero al cataclisma informatico profetizzato da alcuni? O l'attivazione di Conficker.C per il primo di aprile non è altro che un "pesce" dei suoi autori, o peggio, un abile espediente per distrarre l'attenzione di tutti da attività o eventi ben più pericolosi? Gli esperti di sicurezza non hanno un'opinione univoca. Seppure siano più o meno tutti d'accordo nel dire che
oggi non si verificherà alcuna "apocalisse", c'è chi sostiene che l'"innesco della bomba"
potrebbe comunque avere conseguenze molto serie e chi, invece, è assolutamente convinto che
oggi non accadrà proprio un bel niente, o quanto meno nulla di fuori dall'ordinario.
Ma cosa sta per scattare esattamente nell'ultima variante del worm? Come spiegato di recente su
Punto Informatico, "ogni giorno Conficker è in grado di generare centinaia di nomi di dominio diversi, attendendo che i malware writer ne registrino uno (o alcuni) e lo (li) usino come tramite per aggiornare il codice del worm, istruire la botnet sulle azioni da compiere o comunque impartire ordini al malware". Se inizialmente il
codicillo era in grado di generare 250 domini al giorno utilizzando 5 top-level domain (TLD) differenti (".com". ".net", ".org" ecc.), la variante B ha esteso i TLD a 8 e la variante C sarà capace, da oggi, di
generare ben 50mila nuovi domini al giorno "pescando" da 110 diversi TDL.
La "sveglia" programmata per oggi dai creatori di Conficker.C
attiva dunque un nuovo e più efficiente algoritmo di generazione dei domini casuali, il cui scopo è quello di
rendere sempre più difficile, da parte di chi cerca di contrastare la diffusione del worm, individuare e bloccare i canali di comunicazione utilizzati da Conficker per contattare i suoi creatori. Va per altro aggiunto che ogni aggiornamento destinato al worm
viene cifrato dai cracker con una chiave RSA da 4096 bit, e viene decompresso dal codice maligno grazie ad una chiave pubblica inglobata nel proprio codice:
ciò rende estremamente difficile per chiunque analizzare il contenuto dei nuovi update o diffonderne di fasulli.