Hanno una taglia di 250mila dollari sulla testa, ma non per questo i professionisti che hanno sviluppato il worm Conficker dimostrano di temere alcunché. Anzi rilanciano, mettendo in circolazione una versione riveduta e corretta del malware, provando a rendere più arduo il contrasto da parte della coalizione allargata che lo sta prendendo di mira in queste settimane.
La nuova variante, identificata come “Conficker B++” dai ricercatori di SRI International , si comporta in maniera piuttosto diversa rispetto alle prime due individuate in precedenza: il worm ora non sfrutta più il buco nella vulnerabilità del servizio Server di tutti i sistemi Windows usata per diffondersi in rete , e il meccanismo di comunicazione remota già decodificato dai ricercatori non può più essere impiegato per l’aggiornamento del malware o per inviare istruzioni agli “zombi” della ancora silente botnet.
Tra le nuove funzionalità del malware c’è ora una backdoor attraverso cui aggiornare il codice malevolo o trasferire componenti aggiuntivi dell’infezione. L’algoritmo di generazione dei nomi di dominio casuali non è più la modalità operativa principale del malware, la qual cosa vanifica il lavoro sin qui fatto da F-Secure e dalle altre società di sicurezza nel tentativo di porre un freno all’epidemia, ma anche quello del worm stesso.
Per Conficker sembra si prospetti un nuovo inizio , le modifiche apportate al codice inibiscono l’aggiornamento automatico delle infezioni già attive, ragion per cui il worm dovrà costruire una nuova botnet a partire dalla variante B++. Secondo le stime di SRI International, attualmente i paesi più colpiti dall’epidemia sono la Cina (2,7 milioni di indirizzi IP), seguita da Regno Unito, Germania e Stati Uniti con numeri decisamente più contenuti.
Alfonso Maruccia
Ti potrebbe interessare
25 feb 2009