Speciale/ Conficker, oggi il giorno della verità?

L'attivazione del nuovo algoritmo non è il solo effetto innescato dal primo aprile. Trend Micro ha spiegato che dei 50mila domini generati oggi, Conficker.C (che la società chiama Downad.KK) ne contatterà 500 a caso per verificare la disponibilità di nuovi aggiornamenti, payload o istruzioni. Quanto temuto da certi ricercatori, dunque, è che oggi il worm possa nuovamente mutare la propria forma o acquistare nuove funzionalità di attacco.

"È possibile che il 1 aprile i sistemi colpiti dall'ultima versione di Conficker vengano aggiornati con una sua nuova versione, contattando i domini presenti nel nuovo elenco", spiega Trend Micro in una FAQ. "Tuttavia questi sistemi potrebbero essere aggiornati anche in qualunque altra data prima o dopo il 1 aprile usando il canale di aggiornamento peer-to-peer presente nell'ultima versione di Conficker".

Come riportato dal noto produttore di antivirus, Conficker introduce anche una nuova tecnologia di comunicazione P2P che consente ad un sistema infetto di diffondere nuovi aggiornamenti e nuove istruzioni al resto della botnet: se il sistema funzionerà, ciò potrebbe rendere ancora più difficile individuare il punto di origine degli update.Trend Micro non esclude la possibilità di una seconda fase di attacchi. "Prima o poi questa minaccia potrebbe entrare in una seconda fase, (...) ma riteniamo che l'enorme attenzione ricevuta da questo worm, oltre al monitoraggio effettuato da operatori della sicurezza e forze dell'ordine, possa costituire un deterrente verso una seconda ondata di attacchi. Non possiamo prevedere le intenzioni dei criminali, ma ciò che possiamo fare è lavorare per limitare l'impatto di una qualsiasi seconda fase".

Tra coloro che vegliano sulla sicurezza degli utenti c'è il Conficker Working Group, il quale lavora ormai da mesi a bloccare l'accesso ai domini che i sistemi infettati da Conficker cercano di contattare. La lista stilata dal gruppo viene anche impiegata da OpenDNS e dall'italiana FoolDNS per bloccare il traffico diretto verso quegli indirizzi e scongiurare a monte l'infezione o limitarne i danni.

Va detto che tutti i sistemi Windows aggiornati con la patch descritta nel bollettino MS08-067 di Microsoft sono immuni a Conficker. Il problema, ma ciò riguarda soprattutto aziende, provider e siti web, è che un sistema può essere al riparo dalle infezioni del worm ma non dai suoi effetti diretti (come l'elevato traffico di rete generato all'interno di una intranet dalle macchine infette) e indiretti (attacchi di distributed denial of service o di spamming lanciati dalla sua botnet). Per altro Conficker, come buona parte degli altri worm, è in grado di bloccare l'accesso a Windows Update e di mettere fuori uso la maggior parte dei software per la sicurezza più diffusi: ciò complica, soprattutto da parte degli utenti meno esperti, la sua rilevazione e rimozione.

Dal momento che Conficker si diffonde anche attraverso condivisioni di rete (incluse quelle protette da password) e chiavette USB, gli esperti raccomandano di utilizzare password più robuste (composte da combinazioni di lettere, numeri e simboli) e di disattivare la funzione autorun per i drive esterni. Trend Micro mette anche in guardia gli utenti da certi falsi antivirus reclamizzati sul Web. "Sono stati individuati falsi pacchetti antivirus che stanno sfruttando la situazione a loro vantaggio, facendo credere all'utente malcapitato di essere stato infettato ed esortandolo a pagare per scaricare la falsa applicazione, che in molti casi si rivela essere un malware".

Chi non disponesse di un antivirus aggiornato può verificare la presenza o meno di Conficker sul proprio PC utilizzando i molti scanner online gratuiti (qui una lista). Per eliminare il codicillo potrebbe invece essere necessario ricorrere ad uno dei tool di rimozione gratuiti messi a punto dai produttori di antivirus, ed elencati in questo articolo di PCMag.com, dove si fornisce anche un vademecum (in lingua inglese) su come difendersi da Conficker. Un elenco di tool anti-Conficker e di link di approfondimento vengono riportati anche in questo post dell'Internet Storm Center.

È infine notizia delle scorse ore che gli scanner di rete si potranno presto avvalere di un metodo più efficace per rilevare Conficker, metodo scoperto dal ricercatore di sicurezza Dan Kaminsky insieme ad altri due colleghi dell'Honeynet Project analizzando le differenze tra la patch MS08-067 e quella, simile ma non identica, che Conficker utilizza per assicurarsi che nessun altro malware infetti i sistemi sotto il suo controllo.

Alessandro Del Rosso

fonte immagini: Trend Micro