Conficker, eppur si muove

Venerdì 10 Aprile 2009 12:46 Eremita Solitario 4324 Visite
Stampa

Roma - Con qualche giorno di ritardo, e senza particolare clamore, Conficker è entrato in funzione. Come previsto, ha abbandonato il download dei suoi "aggiornamenti" attraverso il protocollo HTTP e si è orientato sulla più impalpabile e insidiosa rete P2P costruita a partire dalla terza versione del worm. Ha iniziato a scaricare piccoli pezzetti di codice, altamente cifrati, sulle macchine infette stando bene attento a cancellare le tracce del suo passaggio: è ancora presto per dire quali danni sia in grado di compiere, ma pare proprio che, archiviata la fase di attesa, ora il più celebre malware dai tempi di Storm sia pronto a darsi da fare.

Secondo quanto ricostruito nei laboratori Trend Micro, durante la notte tra il 7 e l'8 aprile è avvenuto un contatto tra una macchina infetta da loro tenuta in osservazione e un nodo del circuito P2P messo in piedi dai creatori di Conficker: un pacchetto di poco più di 100KB è stato depositato nella cartella dei file temporanei di Windows, con all'interno quello che parrebbe alle prime analisi una sorta di keylogger. Secondo quanto riferito, la profonda e complessa cifratura del codice impedirebbe al momento una identificazione certa delle azioni che il nuovo aggiornamento è in grado di compiere, ma le probabilità che il worm sia passato in una fase "attiva" sono piuttosto consistenti.

Una volta completata l'installazione della patch, Conficker provvede a rimuovere ogni traccia dal sistema tentando di occultare ogni prova del suo passaggio: nessuna voce nel registro o nei log a testimonianza delle sue attività, nonostante prosegua nella sua opera di infezione distribuita via web (nel caso in cui le patch al sistema operativo non siano state applicate) dopo aver pure controllato che la macchina su cui risiede sia connessa ad Internet. Infine, un collegamento sembrerebbe esistere tra Conficker e l'altro worm del momento, Waledac.

Quest'ultimo, già noto per le sue attività di spamming, potrebbe in linea di massima essere sotto il controllo degli stessi autori di Conficker. Oppure, circostanza improbabile ma non troppo, due differenti gruppi creatori di malware potrebbero essersi consorziati per portare avanti le proprie attività fuorilegge. Anche tra i criminali, evidentemente, l'unione fa la forza.

Il nuovo pacchetto di Conficker (gli esperti non sono ancora certi se definirla o meno una nuova versione, in questo caso la D, del worm) è programmato per spegnersi il prossimo 3 maggio. Allora si conoscerà la prossima mossa dei cattivoni, anche se è auspicabile che in queste tre settimane le difese e le protezioni messe in campo da utenti, produttori di antivirus e aziende aumentino e si consolidino. Secondo le stime a risultare infetti oggi sarebbero non meno di 3 milioni di sistemi, anche se i più pessimisti si spingono addirittura a valutare in 12 milioni il numero di computer ancora sotto il controllo di Conficker.

 

Notizia tratta da Punto-Informatico

Tags: