Conficker si è svegliato, altro che pesce d’aprile

La Redazione
Di
Pubblicato il: 10/04/2009
Commenti Commenta | Permalink

Il temibile Conficker non sta affatto dormendo. Traffica via P2P e smetterà di replicarsi il 3 maggio, ma resterà presente, permettendo il controllo remoto dei PC. All’erta

Roma - Molti hanno sottovalutato il rischio, molti altri hanno pensato a pesci d’aprile, altri ancora hanno ritenuto si trattasse di un trucco, ma non è così: Conficker.C, il temibile worm di cui si è discusso qualche giorno fa, non solo è vivo e vegeto, ma sta operando in grande stile. Unica (relativamente) buona notizia: dovrebbe – l’uso del condizionale è d’obbligo – smettere di operare il 3 maggio prossimo.

Ciò non significa che sparirà dai computer dei quali si è appropriato: “dopo il 3 maggio, si arresterà e non eseguirà alcuna ulteriore replica”, ha detto David Perry, direttore della divisione security education di Trend Micro. Tuttavia, i computer infetti restano a rischio di gestione remota.

Secondo Trend Micro, il programma sembra risiedere in un file .sys e si nasconde dietro la presenza di un rootkit, cioè un software progettato per impedire di rilevare che un determinato computer è stato compromesso. Inoltre è fortemente cifrato, il che rende ancora più difficoltosa l’analisi del codice.

Una macchina infetta tenta ripetutamente di collegarsi a MySpace.com, a MSN.com, eBay.com, CNN.com ed AOL.com per rilevare la presenza di una connessione ad Internet funzionante. Non contiene – almeno all’apparenza – alcuna traccia del virus, spiega Trend Micro nel blog.

Come a suo tempo sospettato, il principale flusso di traffico si svolge attraverso nodi P2P: oltre a questa caratteristica, Conficker comunica con i server associati alla famiglia di malware Waledac e con la botnet Storm, spiega Rik Ferguson di Trend Micro.

Nel corso dell’attività, è possibile che il computer infetto inviti a scaricare un falso security scanner, proposto al prezzo di 49,95 dollari. Ne parla ZDNet, spiegando che lo ha rilevato Alex Gostev di Kaspersky, secondo la cui analisi milioni di macchine infette si comporteranno proprio in questo modo.

La vulnerabilità di cui si serve il malware, ricorda TG Daily, è la  MS08-067, di cui Microsoft aveva dato notizia. Si serve, inoltre, della porta TCP 5114 e serve le richieste HTTP tramite broadcast, attraverso una richiesta SSDP.

La speciale pagina predisposta dall'Università di Bonn per la verifica di Conficker

La speciale pagina predisposta dall'Università di Bonn per la verifica di Conficker

Un sommario controllo lo suggerisce Cnet, precisando che l’esame della Conficker Eye Chart o di questo sito dell’Università di Bonn possono essere d’aiuto per valutare se il proprio computer possa in qualche modo risultare compromesso.

Non resta che far uso della massima prudenza possibile, sia in navigazione, sia nella negligente e superficiale apertura delle email provenienti  da sconosciuti: mai come in questi momenti è ottima misura quella di procedere, prima ancora di accedere alla Rete, ad un accurato backup totale e, subito dopo, ad altrettanto accurato aggiornamento dei propri strumenti di difesa.


  • Condividi su Facebook
  • Condividi su Twitter
  • Condividi su LinkedIn
  • Condividi su FriendFeed
  • Condividi su Pinterest
  • Pubblica su MySpace
  • Invia su Segnalo
  • Invia a Diggita
  • Segnalibro su Google
  • Pubblica su Blogger
  • Condividi su Google Reader
  • Condividi su Google+

Argomenti trattati:
, , , , ,

Sezione in lettura: Prime

« »

Commenti (locali)




Nota: La moderazione in uso potrebbe ritardare la pubblicazione del commento. Non è necessario reinviarlo.