Conficker, eppur si muove

Il tanto temuto D-day del 1 aprile è passato senza particolari conseguenze. Ma ora il worm pare essersi risvegliato: e si starebbe facendo anche un po' più pericoloso

Roma - Con qualche giorno di ritardo, e senza particolare clamore, Conficker è entrato in funzione. Come previsto, ha abbandonato il download dei suoi "aggiornamenti" attraverso il protocollo HTTP e si è orientato sulla più impalpabile e insidiosa rete P2P costruita a partire dalla terza versione del worm. Ha iniziato a scaricare piccoli pezzetti di codice, altamente cifrati, sulle macchine infette stando bene attento a cancellare le tracce del suo passaggio: è ancora presto per dire quali danni sia in grado di compiere, ma pare proprio che, archiviata la fase di attesa, ora il più celebre malware dai tempi di Storm sia pronto a darsi da fare.

Secondo quanto ricostruito nei laboratori Trend Micro, durante la notte tra il 7 e l'8 aprile è avvenuto un contatto tra una macchina infetta da loro tenuta in osservazione e un nodo del circuito P2P messo in piedi dai creatori di Conficker: un pacchetto di poco più di 100KB è stato depositato nella cartella dei file temporanei di Windows, con all'interno quello che parrebbe alle prime analisi una sorta di keylogger. Secondo quanto riferito, la profonda e complessa cifratura del codice impedirebbe al momento una identificazione certa delle azioni che il nuovo aggiornamento è in grado di compiere, ma le probabilità che il worm sia passato in una fase "attiva" sono piuttosto consistenti.

Una volta completata l'installazione della patch, Conficker provvede a rimuovere ogni traccia dal sistema tentando di occultare ogni prova del suo passaggio: nessuna voce nel registro o nei log a testimonianza delle sue attività, nonostante prosegua nella sua opera di infezione distribuita via web (nel caso in cui le patch al sistema operativo non siano state applicate) dopo aver pure controllato che la macchina su cui risiede sia connessa ad Internet. Infine, un collegamento sembrerebbe esistere tra Conficker e l'altro worm del momento, Waledac.
Quest'ultimo, già noto per le sue attività di spamming, potrebbe in linea di massima essere sotto il controllo degli stessi autori di Conficker. Oppure, circostanza improbabile ma non troppo, due differenti gruppi creatori di malware potrebbero essersi consorziati per portare avanti le proprie attività fuorilegge. Anche tra i criminali, evidentemente, l'unione fa la forza.

Il nuovo pacchetto di Conficker (gli esperti non sono ancora certi se definirla o meno una nuova versione, in questo caso la D, del worm) è programmato per spegnersi il prossimo 3 maggio. Allora si conoscerà la prossima mossa dei cattivoni, anche se è auspicabile che in queste tre settimane le difese e le protezioni messe in campo da utenti, produttori di antivirus e aziende aumentino e si consolidino. Secondo le stime a risultare infetti oggi sarebbero non meno di 3 milioni di sistemi, anche se i più pessimisti si spingono addirittura a valutare in 12 milioni il numero di computer ancora sotto il controllo di Conficker.
35 Commenti alla Notizia Conficker, eppur si muove
Ordina
  • Stare dietro ad un router nat puó servire per la protezione anche se non si sono scaricate tutte le ultimissime patch ?
    non+autenticato
  • No, e comunque il NAT non va mai considerato come un elemento di protezione della propria macchina
    non+autenticato
  • - Scritto da: medioman
    > No, e comunque il NAT non va mai considerato come
    > un elemento di protezione della propria
    > macchina

    Perchè no? Un pc dietro NAT è sicuramente meno vulnerabile. Poi non è certo la soluzione ideale e definitiva per proteggersi, ma qualcosa fa. Un worm che si diffonde automaticamente come fa ad infettarti se non può contattarti sulla porta voluta?
    Prova a mettere un honeypot dietro ad un NAT router e dimmi quanti contatti vedi.
    non+autenticato
  • - Scritto da: Un po di informazio ne
    > - Scritto da: medioman
    > > No, e comunque il NAT non va mai considerato
    > come
    > > un elemento di protezione della propria
    > > macchina
    >
    > Perchè no?

    Perche' devi rileggere la domanda, e facendolo ti accorgerai che chi ha postato chiede se il NAT lo protegga eliminando la necessita' dell'Update. Non e' un pronlema tecnico e' un problema di metodo, e se gli dici che col NAT va sicuro lo metti nella pericolosa condizione di tranquillizzarsi.
    Poi non ci dice l'amico se sta su una LAN, se si connette con un portatile che ogni tanto passa su wifi su una wan diversa, se fa uso di chiavette per trasferire dati da qualche altra macchina, etc...
    Poi magari comincia a pensare che se e' protetto da un worm di quel tipo magari sotto NAT ci puo' tenere pure una bella shell sprotetta, che tanto da internet non e' raggiungibile, ed invece E' RAGGIUNGIBILE con poca fatica se l'unica protezione e' il NAT, che per l'appunto non e' una misura atta a proteggere...

    ciao
    non+autenticato
  • Come ho detto a medioman, un po' serve, diminuisce le probabilità di essere infettati da determinati tipi di malware, ma il sistema va comunque tenuto aggiornato con le ultime patch. Nel momento in cui accedi ad Internet (web, file sharing, chat...) esiste la possibilità di entrare a contatto con codice malevolo che spesso cerca di sfruttare le vulnerabilità di programmi e s.o. non aggiornati.
    non+autenticato
  • - Scritto da: Un po di informazio ne
    > Come ho detto a medioman, un po' serve,
    > diminuisce le probabilità di essere infettati da
    > determinati tipi di malware, ma il sistema va
    > comunque tenuto aggiornato con le ultime patch.
    > Nel momento in cui accedi ad Internet (web, file
    > sharing, chat...) esiste la possibilità di
    > entrare a contatto con codice malevolo che spesso
    > cerca di sfruttare le vulnerabilità di programmi
    > e s.o. non
    > aggiornati.

    Ecco appunto, se leggevo prima quest'altro commento potevo risparmiare qualche rigo sul precedente Occhiolino
    non+autenticato
  • Scusate, io lavoro nell'informatica, e mi occupo prevalentemente di sicurezza informatica.
    Ok, sono piu' per firewalle e vpn, ma studio e implemento anche soluzioni con antivirus per la protezione perimetrale, e nessuno, ripeto nessuno, dei miei clienti in italia, un campione di 150 medio-grandi aziende, ha mai avuto a che fare con questo apocalittico virus.
    All'estero gestisco le filiali di questi stessi clienti, ma li' mi occupo solo della progettazione dell'infrastruttura, tutto il resto (implementazione, monitoring ecc) e' fatto da personale in loco, e quindi non so come sia la situazione.
    Da qui la domanda: qualcuno l'ha mai visto in the wild sto cavolo di virus??

    saluti
    non+autenticato
  • Io.
    Ti posso garantire che nell'azienda per cui lavoro tutti, e dico tutti, sono stati impestati.
    Però devo dire che:
    - l'antivurus aziendale, pur presente, non era per nulla aggiornato.
    - patch di sicurezza e upgrade vari mai scaricati da mesi
    - un fiorire di chiavi usb il cui ruolo è riconducibile agli untori di manzoniana memoria
    C'è voluto un bel pò di lavoro per rimettere tutto a posto.

    Fortunatamente il mio pc è una macchina linux.
    In più, il mio compito è di gestire una decina di macchine che fanno parte di una lan diversa da quella aziendale e che ho potuto aggiornare in maniera indipendente senza problemi e sono riuscito ad evitare danni (upgrade del sistema, disabilitazione dell'autoload e soprattutto niente chiavette).

    I sistemisti sono stati decapitatiA bocca aperta
    non+autenticato
  • Grande!
    Questo perchè molte aziende non si affidano ad un perito informatico nella gestione delle proprie reti, o al max assumono uno che porta dietro una stupida patente europea!Con la lingua fuori
  • Anche dal cliente dove lavoro io, la rete era impestata. Io invece uso Gentoo xD
    non+autenticato
  • ...

    Noi abbiamo avuto , 3 aziende "impestate" , per un totale di circa 500 computer , e circa 4 o 5 privati...

    Esiste eccome !

    Il primo proliferare il 28 Dicembre 2008 , e fino ai primi giorni di gennaio , il 10 di gennaio circa , solo 4 antivirus su 38 (verificato su VirusTotal) lo individuavano

    Ciao
    Simone
    non+autenticato
  • non voglio fare i nomi dei prodotti che usiamo per non fare pubblicita', ma usiamo 3 differenti antivirus: uno sui proxy web/ftp/smtp, uno sui server smtp e uno sui server/client, sono di 3 aziende diverse.
    Poi client castrati con policy, bridge firewall installati nei punti strategici delle lan, switch configurati a dovere, border firewall con aperte solo le porte necessarie e con regole molto restrittive.
    Ripeto, di questo flagello non mi sto minimamente accorgendo.
    Codered e nimda invece a suo tempo avevano massacrato dei server che per motivi che non sto qui a scrivere non potevano essere aggiornati e il reverse proxy che stava loro davanti.. ecco, per usare un termine letto poco sopra, il sistemista in questione e' stato decapitatoSorride
    non+autenticato
  • Filiale della più grande azienda di consulenza IT del mondo completamente impestata, difficile lavorare, active directory con tutti gli account lockati continuamente...
  • - Scritto da: hehe
    > Da qui la domanda: qualcuno l'ha mai visto in the
    > wild sto cavolo di
    > virus??

    Non so se dipenda proprio da questo, ma da fine dicembre ad ora, non ho mai visto tanti attacchi DOS e "dizionario" negli ultimi anni.
    Teo_
    2666
  • - Scritto da: hehe

    > Da qui la domanda: qualcuno l'ha mai visto in the
    > wild sto cavolo di
    > virus??

    La mia situazione e' similea a quella di virgola; gestisco una UO di una PAC, LAN firewall/proxata, macchine wxp sp3 aggiornate, tranne la mia con kubuntu e qualche server con ubuntu e msws2k3r2 o giu' di li'; nessun segno di conficker, ho avuto un paio di situazioni sospette, ma tool locali e scansioni online nonhanno rilevato nulla. Traffico normale, dominio msw pure.

    In un'altra UO (piu' grande), invece, c'e' stata una infezione parziale, nel senso che il dominio non e' crollato e solo alcune macchine sono state infettate, tramite chiavette usb.

    CYA

    P.S.: UO = Unita' Organizzativa -> UfficioOcchiolino
    non+autenticato
  • Gestisco la sala macchine di un'università e posso dire di averlo visto all'opera. Nel nostro caso abbiamo avuto una ventina di server infetti (alcuni dei quali con risorse al 100%, traffico UDP attivo su quasi tutte le porte, ecc.). Erano tutte macchine Windows Server 2000/2003 con condivisioni di rete e patch disallineate di poche settimane. Nella maggior parte dei casi riscontravamo file .exe con nomi casuali in \system32 oppure file infetti nelle cartelle utenti o di altre condivisioni. Dopo aver allineato le patch, installato le ultimissime versioni dell'antivirus su tutti i server e i client, c'è stato un calo delle segnalazioni. Il problema è che questo programma elude tutti i firewall e le protezioni perché utilizza protocolli standard attraverso servizi di sistema (come l'RPC). Ci si accorge solo quando alcuni servizi di rete sono in ginocchio oppure una macchina diventa lentissima perché sta tentando di craccare password o altri dati. Da programmatore e informatico direi che questi hacker hanno fatto un lavoro incredibile, facendoci vedere quanto deboli siano i nostri sistemi (sopratutto Microsoft).
    non+autenticato
  • eh si, ormai gli resta solo di crearsi da solo gli aggiornamenti, poi ne perderanno il controllo anche i suoi creatori... si cambierà nome in skynet e darà inizio all'era dei robot intelligenti

    Quasi quasi tento di farmi ascoltare dai creatori con un messaggio "please change its name to skynet on may 3rd"Con la lingua fuori
    -----------------------------------------------------------
    Modificato dall' autore il 10 aprile 2009 10.01
    -----------------------------------------------------------
    Wolf01
    3342
  • Steve Ballmer,
    un giorno domineremo il mondo con il nostro sistema operativo.

    Come dico io: Speriamo che si sbrighino a scrivere il virus definitivo per quella porcata di Windows, cosi' la gente decidera' di passare finalemnte ad os piu seri: *NIX
    non+autenticato
  • Non hai capito... il virus definitivo è windows stesso!!
    non+autenticato
  • il problema è che windows non sarà sotto il controllo di Ballmer ma dei russiA bocca aperta
    non+autenticato
  • no, non russi, sovietici!
    non+autenticato
  • Utilizzando macchine con Linux non potrò godermi tutto questo spasso!!!
    non+autenticato
  • vero, sono triste anch'ioA bocca aperta
    non+autenticato
  • confermo, anche a me dispiace un po'. Provo lo stesso dispiacere di quando dissero che una combinazione di tasti faceva collassare Vista. Sovrappensiero presi a premere quella combinazione una ventina di volte, poi mi accorsi che ero su Arch...

    Comunque non avevo mai sentito di un virus che scarica gli aggiornamenti da internet... ... è davvero un gran bel lavoro...
    non+autenticato
  • Muoio pure io dall'invidia!
    Preso dallo sconforto, ho pure tentato di iniettare Conficker nella mia Slackware, ma non c'è stato niente da fare.

    Non è possibile che ci sia ancora questo livello di discriminazione nei confronti degli utenti Linux ...
    non+autenticato
  • che commenti da asilo nido
    non+autenticato
  • - Scritto da: confucker
    > che commenti da asilo nido
    come non quotarti che bambinetti
    non+autenticato
  • ma tu quando vuoi installare su Linux un software scarichi la versione per windows?
    Se non lo hai fatto provaci, a me hanno detto che non funziona!
  • somaro,
    ritenta sarai più fortunato (esiste wine)

    poi, "grande mago" quale sarebbe questa fantomatica versione per gli *nix???

    avrei proprio voglia di divertirmi anchio...non è giusto che tu possa e io no...:(
    non+autenticato
  • 1)io ho parlato di Linux non di *nix!
    2)perchè io starei divertendomi?
    3)wine non funziona con tutti i programmi.
    4)Comunque non mi ritendo un grande mago, ho usato poco sistemi *nix, ma mi sembra di sapere almeno le basi del loro funzionamento.
    Spero di essere stato chiaro, la mia risposta al commento di "Alvaro Vitali" era stata data in tono ironico perchè tutta la discussione non mi sembra bbia preso una piega seria(nemmeno il primo commento di "Negronetto" era serio).
    Non voglio dire che non mi piace ridere, ma che ci sono disucssioni serie e discussione fatte giusto per scherzare e questa era una di quelle.

    Ti avverto che leggero una tua risposta ma non la commenterò, perchè non ho volgia di iniziare una discussione inutile.

    Spero di essere stato kiaro, ciao!
  • Pure me, col mio Apple
  • Sei già abbastanza sfigato col 'tuoapple' che non ti meritavi pure il conficker.
    non+autenticato