Il worm Conficker chiede istruzioni e ottiene un aggiornamento

16 Marzo 2009 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebIl malware Conficker/Downup/Downadup/Kido, scrive Symantec nella prima edizione del Downadup Codex, “è fino a oggi uno dei worm più complessi della storia del software malevolo“. Propagatasi inizialmente attraverso una vulnerabilità del servizio Server di Windows, la minaccia è cresciuta a dismisura a causa di una combinazione di fattori che ne ha facilitato la diffusione e ha spinto l’industria dell’IT a coalizzarsi nel tentativo di bloccarne l’ulteriore proliferazione.

Anche se la botnet continua a rimanere silente, senza alcuna apparente azione malevola ordinata dai creatori del worm, le infrastrutture di rete cominciano a subire i danni collaterali dell’infezione e, dopo l’episodio già segnalato dei computer della marina francese, agli inizi di marzo Sophos ha reso noto che nel corso di questo mese alcuni domini legittimi avrebbero subito una sorta di attacco distributed denial of service (DDoS) involontario causato dalla funzionalità di comunicazione remota del worm.

Sophos ha comunicato la presenza, nelle liste giornaliere di 250 domini pseudo-casuali generate da Conficker durante il mese di marzo, di nomi di dominio appartenenti a organizzazioni o società che nulla hanno a che fare con il malware writing. Tra queste c’è la compagnia aerea texana Southwest Airlines, che oltre al dominio southwest.com è proprietaria anche della risorsa “alternativa” wnsux.com che punta al primo indirizzo. Sfortunatamente per la società, tale risorsa corrisponde proprio a uno di quei server remoti che i milioni di macchine infetti da Conficker stanno provando a contattare in questi giorni, in attesa di istruzioni o di un eventuale update del codice.

La botnet ha preso d’assalto il dominio il 13 marzo scorso, e se la compagnia aerea non avesse approntato le giuste contromisure dopo essere stata avvisata da Sophos sicuramente avrebbe dovuto fronteggiare seri problemi per quanto riguarda l’accessibilità e la funzionalità del sito. Southwest Airlines ha opportunamente disabilitato la risoluzione di un indirizzo IP per il dominio incriminato, ora le prossime scadenze per gli “attacchi” DDoS di Conficker sono fissate per il 18 marzo (qhflh.com, Women’s Net in Qinghai Province) e il 31 marzo (praat.org, Praat: doing phonetics by computer).

Conficker Growth Over 3 Weeks

A parte gli effetti del meccanismo di generazione dei nomi di dominio, a ogni modo, secondo i dati raccolti dalla società Arbor Networks sembra che la diffusione di Conficker abbia raggiunto il suo picco e il numero di indirizzi IP unici infetti si sia fermato a circa 3 milioni al giorno. La botnet non cresce più, ma questo stato di cose non impedisce ai suoi burattinai di provare a gestire i PC zombi già sotto il loro controllo e, soprattutto, a rispondere adeguatamente al “Conficker Cabal”, l’intrigo ordito da Microsoft e i suoi alleati per bloccare la corsa del malware.

Secondo Symantec, al contrario della precedente, presunta nuova variante Conficker B++, questa volta gli autori hanno aggiornato il worm per davvero e l’ultima versione individuata, ribattezzata W32.Downadup.C, introduce nuove caratteristiche nel codice del malware e rende la minaccia ancora più pericolosa e preoccupante di quanto non fosse già in precedenza.

Le prime analisi su Downadup.C rivelano che il worm continua a fare affidamento sui meccanismi già consolidati per la sua diffusione (quindi vulnerabilità MS08-067, drive rimovibili e risorse di rete condivise), ma è altresì diventato molto più aggressivo prendendo di mira i processi dei software di sicurezza e analisi rimuovendoli dalla memoria se individuati sulla macchina in via di infezione. La risposta al Conficker Cabal si è concretizzata poi nel perfezionamento dell’algoritmo di creazione delle liste dei nomi di dominio, che ora arriva a includere qualcosa come 50.000 diversi domini giornalieri più uno dei 116 suffissi esistenti.

Quali sono gli obiettivi del nuovo aggiornamento? “Gli autori stanno ora mirando ad aumentare la longevità della minaccia di Downadup già esistente sulle macchine infette - scrive Symantec - Invece di provare a infettare nuovi sistemi, sembra che le loro intenzioni siano di proteggere le macchine già infette dai software antivirus e dai tentativi di recupero“.

Il numero di infezioni non sembra essere cresciuto ulteriormente, ma la comparsa di Downadup.C è particolarmente significativa perché secondo Symantec rappresentail primo vero caso” di comunicazione riuscita tra i malware writer e il worm, che in risposta riceve il nuovo codice binario per aggiornare l’infezione. Considerando il numero piuttosto esiguo di macchine interessate dall’update, a ogni modo, al momento Symantec non è ancora in grado di stabilire se si tratti di un test limitato oppure della prima fase di una strategia di più ampio respiro.


La versione inglese di questo articolo è apparsa su Slashdot il 16 marzo 2009, generando sul blog un picco massimo quotidiano di 4050 visitatori unici e 5299 pagine visualizzate (fonte: LLOOGG).

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

4 Risposte a “Il worm Conficker chiede istruzioni e ottiene un aggiornamento”

  1. Engelium il 16 Marzo 2009 11:46

    Wow! sembra quasi un racconto di Stephen King :lol: … mi ricorda un po’ “Il Tagliaerbe”

    Chissà quale sarà il “primo vagito” di Conficker…


    Browser Opera 9.64 Opera 9.64 sull'O.S. Windows Vista Windows Vista
    Opera/9.64 (Windows NT 6.0; U; en) Presto/2.1.1
  2. Sir Arthur, King of Ghouls'n Ghosts il 16 Marzo 2009 12:53

    Già, è una vicenda estremamente affascinante da seguire, e praticamente unica nel genere. Voglio dire, tutte le botnet (e i malware alla loro base) note sino a ora funzionano da semplici vettori di schifezze, infettano i PC e cominciano a spedire spam, catturare password, lanciare attacchi DDoS.

    Conficker invece non s’è ancora capito a che serva….


    Browser Firefox 2.0.0.16 Firefox 2.0.0.16 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16
  3. Engelium il 16 Marzo 2009 14:50

    Già è proprio questo che intriga… questo Conficker pare sia un primo esperimento “Skynet-style” di codice dotato di vita propria … il suo interesse al momento sembra unicamente quello di sopravvivere e non quello di compiere una qualche azione programmata…

    Ed in effetti, se la si guarda da questo punto di vista, la cosa potrebbe essere davvero preoccupante perchè rappresenta il primo passo in questo senso… ed in genere, almeno come TV e racconti ci hanno insegnato, quelli successivi non sono mai tanto divertenti :P


    Browser Opera 9.64 Opera 9.64 sull'O.S. Windows Vista Windows Vista
    Opera/9.64 (Windows NT 6.0; U; en) Presto/2.1.1
  4. Sir Arthur, King of Ghouls'n Ghosts il 16 Marzo 2009 17:06

    Ma si sa, che prima o poi le macchine prenderanno il controllo del mondo, oramai è un “futuro” standard previsto da decenni :-P

    P.S.Articolo (in inglese) slashdottato, e questa volta prevedo un effetto pesantuccio (ho dovuto chiudere la finestra di LLOOGG perché in pochi minuti sono arrivati un migliaio di visitatori sul blog). Se il sito finisce gambe all’aria sapete il perché :-D
    E sono proprio curioso di vedere se riesco a buttare giù il server a 8 CPU di AN Hosting, lol….


    Browser Firefox 2.0.0.16 Firefox 2.0.0.16 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16

Lascia una risposta