(Punto Informatico) – Il famigerato worm Conficker domina le cronache sulla sicurezza dallo scorso novembre, ossia da quando la sua prima incarnazione, chiamata Conficker.A, sfruttò una vulnerabilità di Windows (all’epoca appena corretta) per infettare centinaia di migliaia di PC in brevissimo tempo.
Da allora il worm ha continuato a evolversi e aggiornarsi, diventando – a detta di molti esperti di sicurezza – uno dei malware più insidiosi e sofisticati di sempre. Le stime oggi parlano di un numero di PC infettati da Conficker compreso tra 3 e 10 milioni, PC che formano la più grande botnet esistente.
Per tentare di sconfiggere questa formidabile minaccia, negli scorsi mesi Microsoft ha sentito la necessità di allearsi con almeno una dozzina di altre organizzazioni, arrivando persino a mettere una taglia sulla testa degli autori del vermicello. Conficker è così temuto che quando i ricercatori di sicurezza hanno scoperto, nel codice della variante C, una bomba a tempo programmata proprio per "esplodere" oggi, c’è chi non ha esitato a parlare di D-day.
Ma in queste ore si assisterà davvero al cataclisma informatico profetizzato da alcuni? O l’attivazione di Conficker.C per il primo di aprile non è altro che un "pesce" dei suoi autori, o peggio, un abile espediente per distrarre l’attenzione di tutti da attività o eventi ben più pericolosi? Gli esperti di sicurezza non hanno un’opinione univoca. Seppure siano più o meno tutti d’accordo nel dire che oggi non si verificherà alcuna "apocalisse", c’è chi sostiene che l’"innesco della bomba" potrebbe comunque avere conseguenze molto serie e chi, invece, è assolutamente convinto che oggi non accadrà proprio un bel niente, o quanto meno nulla di fuori dall’ordinario. Ma cosa sta per scattare esattamente nell’ultima variante del worm? Come spiegato di recente su Punto Informatico, "ogni giorno Conficker è in grado di generare centinaia di nomi di dominio diversi, attendendo che i malware writer ne registrino uno (o alcuni) e lo (li) usino come tramite per aggiornare il codice del worm, istruire la botnet sulle azioni da compiere o comunque impartire ordini al malware". Se inizialmente il codicillo era in grado di generare 250 domini al giorno utilizzando 5 top-level domain (TLD) differenti (".com". ".net", ".org" ecc.), la variante B ha esteso i TLD a 8 e la variante C sarà capace, da oggi, di generare ben 50mila nuovi domini al giorno "pescando" da 110 diversi TDL. La "sveglia" programmata per oggi dai creatori di Conficker.C attiva dunque un nuovo e più efficiente algoritmo di generazione dei domini casuali, il cui scopo è quello di rendere sempre più difficile, da parte di chi cerca di contrastare la diffusione del worm, individuare e bloccare i canali di comunicazione utilizzati da Conficker per contattare i suoi creatori. Va per altro aggiunto che ogni aggiornamento destinato al worm viene cifrato dai cracker con una chiave RSA da 4096 bit, e viene decompresso dal codice maligno grazie ad una chiave pubblica inglobata nel proprio codice: ciò rende estremamente difficile per chiunque analizzare il contenuto dei nuovi update o diffonderne di fasulli.
Da allora il worm ha continuato a evolversi e aggiornarsi, diventando – a detta di molti esperti di sicurezza – uno dei malware più insidiosi e sofisticati di sempre. Le stime oggi parlano di un numero di PC infettati da Conficker compreso tra 3 e 10 milioni, PC che formano la più grande botnet esistente.
Per tentare di sconfiggere questa formidabile minaccia, negli scorsi mesi Microsoft ha sentito la necessità di allearsi con almeno una dozzina di altre organizzazioni, arrivando persino a mettere una taglia sulla testa degli autori del vermicello. Conficker è così temuto che quando i ricercatori di sicurezza hanno scoperto, nel codice della variante C, una bomba a tempo programmata proprio per "esplodere" oggi, c’è chi non ha esitato a parlare di D-day.
Ma in queste ore si assisterà davvero al cataclisma informatico profetizzato da alcuni? O l’attivazione di Conficker.C per il primo di aprile non è altro che un "pesce" dei suoi autori, o peggio, un abile espediente per distrarre l’attenzione di tutti da attività o eventi ben più pericolosi? Gli esperti di sicurezza non hanno un’opinione univoca. Seppure siano più o meno tutti d’accordo nel dire che oggi non si verificherà alcuna "apocalisse", c’è chi sostiene che l’"innesco della bomba" potrebbe comunque avere conseguenze molto serie e chi, invece, è assolutamente convinto che oggi non accadrà proprio un bel niente, o quanto meno nulla di fuori dall’ordinario. Ma cosa sta per scattare esattamente nell’ultima variante del worm? Come spiegato di recente su Punto Informatico, "ogni giorno Conficker è in grado di generare centinaia di nomi di dominio diversi, attendendo che i malware writer ne registrino uno (o alcuni) e lo (li) usino come tramite per aggiornare il codice del worm, istruire la botnet sulle azioni da compiere o comunque impartire ordini al malware". Se inizialmente il codicillo era in grado di generare 250 domini al giorno utilizzando 5 top-level domain (TLD) differenti (".com". ".net", ".org" ecc.), la variante B ha esteso i TLD a 8 e la variante C sarà capace, da oggi, di generare ben 50mila nuovi domini al giorno "pescando" da 110 diversi TDL. La "sveglia" programmata per oggi dai creatori di Conficker.C attiva dunque un nuovo e più efficiente algoritmo di generazione dei domini casuali, il cui scopo è quello di rendere sempre più difficile, da parte di chi cerca di contrastare la diffusione del worm, individuare e bloccare i canali di comunicazione utilizzati da Conficker per contattare i suoi creatori. Va per altro aggiunto che ogni aggiornamento destinato al worm viene cifrato dai cracker con una chiave RSA da 4096 bit, e viene decompresso dal codice maligno grazie ad una chiave pubblica inglobata nel proprio codice: ciò rende estremamente difficile per chiunque analizzare il contenuto dei nuovi update o diffonderne di fasulli.
L’attivazione del nuovo algoritmo non è il solo effetto innescato dal primo aprile. Trend Micro ha spiegato che dei 50mila domini generati oggi, Conficker.C (che la società chiama Downad.KK) ne contatterà 500 a caso per verificare la disponibilità di nuovi aggiornamenti, payload o istruzioni. Quanto temuto da certi ricercatori, dunque, è che oggi il worm possa nuovamente mutare la propria forma o acquistare nuove funzionalità di attacco.
"È possibile che il 1 aprile i sistemi colpiti dall’ultima versione di Conficker vengano aggiornati con una sua nuova versione, contattando i domini presenti nel nuovo elenco", spiega Trend Micro in una FAQ. "Tuttavia questi sistemi potrebbero essere aggiornati anche in qualunque altra data prima o dopo il 1 aprile usando il canale di aggiornamento peer-to-peer presente nell’ultima versione di Conficker".
Come riportato dal noto produttore di antivirus, Conficker introduce anche una nuova tecnologia di comunicazione P2P che consente ad un sistema infetto di diffondere nuovi aggiornamenti e nuove istruzioni al resto della botnet: se il sistema funzionerà, ciò potrebbe rendere ancora più difficile individuare il punto di origine degli update.
"È possibile che il 1 aprile i sistemi colpiti dall’ultima versione di Conficker vengano aggiornati con una sua nuova versione, contattando i domini presenti nel nuovo elenco", spiega Trend Micro in una FAQ. "Tuttavia questi sistemi potrebbero essere aggiornati anche in qualunque altra data prima o dopo il 1 aprile usando il canale di aggiornamento peer-to-peer presente nell’ultima versione di Conficker".
Come riportato dal noto produttore di antivirus, Conficker introduce anche una nuova tecnologia di comunicazione P2P che consente ad un sistema infetto di diffondere nuovi aggiornamenti e nuove istruzioni al resto della botnet: se il sistema funzionerà, ciò potrebbe rendere ancora più difficile individuare il punto di origine degli update.
Trend Micro non esclude la possibilità di una seconda fase di attacchi. "Prima o poi questa minaccia potrebbe entrare in una seconda fase, (…) ma riteniamo che l’enorme attenzione ricevuta da questo worm, oltre al monitoraggio effettuato da operatori della sicurezza e forze dell’ordine, possa costituire un deterrente verso una seconda ondata di attacchi. Non possiamo prevedere le intenzioni dei criminali, ma ciò che possiamo fare è lavorare per limitare l’impatto di una qualsiasi seconda fase".
Tra coloro che vegliano sulla sicurezza degli utenti c’è il Conficker Working Group, il quale lavora ormai da mesi a bloccare l’accesso ai domini che i sistemi infettati da Conficker cercano di contattare. La lista stilata dal gruppo viene anche impiegata da OpenDNS e dall’italiana FoolDNS per bloccare il traffico diretto verso quegli indirizzi e scongiurare a monte l’infezione o limitarne i danni.
Va detto che tutti i sistemi Windows aggiornati con la patch descritta nel bollettino MS08-067 di Microsoft sono immuni a Conficker. Il problema, ma ciò riguarda soprattutto aziende, provider e siti web, è che un sistema può essere al riparo dalle infezioni del worm ma non dai suoi effetti diretti (come l’elevato traffico di rete generato all’interno di una intranet dalle macchine infette) e indiretti (attacchi di distributed denial of service o di spamming lanciati dalla sua botnet). Per altro Conficker, come buona parte degli altri worm, è in grado di bloccare l’accesso a Windows Update e di mettere fuori uso la maggior parte dei software per la sicurezza più diffusi: ciò complica, soprattutto da parte degli utenti meno esperti, la sua rilevazione e rimozione.
Dal momento che Conficker si diffonde anche attraverso condivisioni di rete (incluse quelle protette da password) e chiavette USB, gli esperti raccomandano di utilizzare password più robuste (composte da combinazioni di lettere, numeri e simboli) e di disattivare la funzione autorun per i drive esterni. Trend Micro mette anche in guardia gli utenti da certi falsi antivirus reclamizzati sul Web. "Sono stati individuati falsi pacchetti antivirus che stanno sfruttando la situazione a loro vantaggio, facendo credere all’utente malcapitato di essere stato infettato ed esortandolo a pagare per scaricare la falsa applicazione, che in molti casi si rivela essere un malware".
Chi non disponesse di un antivirus aggiornato può verificare la presenza o meno di Conficker sul proprio PC utilizzando i molti scanner online gratuiti (qui una lista). Per eliminare il codicillo potrebbe invece essere necessario ricorrere ad uno dei tool di rimozione gratuiti messi a punto dai produttori di antivirus, ed elencati in questo articolo di PCMag.com, dove si fornisce anche un vademecum (in lingua inglese) su come difendersi da Conficker. Un elenco di tool anti-Conficker e di link di approfondimento vengono riportati anche in questo post dell’Internet Storm Center.
È infine notizia delle scorse ore che gli scanner di rete si potranno presto avvalere di un metodo più efficace per rilevare Conficker, metodo scoperto dal ricercatore di sicurezza Dan Kaminsky insieme ad altri due colleghi dell’Honeynet Project analizzando le differenze tra la patch MS08-067 e quella, simile ma non identica, che Conficker utilizza per assicurarsi che nessun altro malware infetti i sistemi sotto il suo controllo.
Tra coloro che vegliano sulla sicurezza degli utenti c’è il Conficker Working Group, il quale lavora ormai da mesi a bloccare l’accesso ai domini che i sistemi infettati da Conficker cercano di contattare. La lista stilata dal gruppo viene anche impiegata da OpenDNS e dall’italiana FoolDNS per bloccare il traffico diretto verso quegli indirizzi e scongiurare a monte l’infezione o limitarne i danni.
Va detto che tutti i sistemi Windows aggiornati con la patch descritta nel bollettino MS08-067 di Microsoft sono immuni a Conficker. Il problema, ma ciò riguarda soprattutto aziende, provider e siti web, è che un sistema può essere al riparo dalle infezioni del worm ma non dai suoi effetti diretti (come l’elevato traffico di rete generato all’interno di una intranet dalle macchine infette) e indiretti (attacchi di distributed denial of service o di spamming lanciati dalla sua botnet). Per altro Conficker, come buona parte degli altri worm, è in grado di bloccare l’accesso a Windows Update e di mettere fuori uso la maggior parte dei software per la sicurezza più diffusi: ciò complica, soprattutto da parte degli utenti meno esperti, la sua rilevazione e rimozione.
Dal momento che Conficker si diffonde anche attraverso condivisioni di rete (incluse quelle protette da password) e chiavette USB, gli esperti raccomandano di utilizzare password più robuste (composte da combinazioni di lettere, numeri e simboli) e di disattivare la funzione autorun per i drive esterni. Trend Micro mette anche in guardia gli utenti da certi falsi antivirus reclamizzati sul Web. "Sono stati individuati falsi pacchetti antivirus che stanno sfruttando la situazione a loro vantaggio, facendo credere all’utente malcapitato di essere stato infettato ed esortandolo a pagare per scaricare la falsa applicazione, che in molti casi si rivela essere un malware".
Chi non disponesse di un antivirus aggiornato può verificare la presenza o meno di Conficker sul proprio PC utilizzando i molti scanner online gratuiti (qui una lista). Per eliminare il codicillo potrebbe invece essere necessario ricorrere ad uno dei tool di rimozione gratuiti messi a punto dai produttori di antivirus, ed elencati in questo articolo di PCMag.com, dove si fornisce anche un vademecum (in lingua inglese) su come difendersi da Conficker. Un elenco di tool anti-Conficker e di link di approfondimento vengono riportati anche in questo post dell’Internet Storm Center.
È infine notizia delle scorse ore che gli scanner di rete si potranno presto avvalere di un metodo più efficace per rilevare Conficker, metodo scoperto dal ricercatore di sicurezza Dan Kaminsky insieme ad altri due colleghi dell’Honeynet Project analizzando le differenze tra la patch MS08-067 e quella, simile ma non identica, che Conficker utilizza per assicurarsi che nessun altro malware infetti i sistemi sotto il suo controllo.
Alessandro Del Rosso