Conficker cambia ancora forma

Il worm più pestifero e pericoloso degli ultimi mesi continua a fare la parte del leone nell'attuale panorama del malware. Gli specialisti di Symantec analizzano gli upgrade del codice malevolo
Il worm più pestifero e pericoloso degli ultimi mesi continua a fare la parte del leone nell'attuale panorama del malware. Gli specialisti di Symantec analizzano gli upgrade del codice malevolo

Roma – Se non è un’epidemia al livello di Sasser, di certo la minaccia del worm Conficker offre ben più di un motivo di preoccupazione alle società di sicurezza, già coalizzatesi nel prendere di mira la principale funzionalità di controllo della enorme botnet, con tanto di taglia sulla testa degli autori pagata in dollari sonanti da Microsoft in persona. Tutto inutile, a ogni modo, allorché il worm non cessa di evolversi e di adattare le proprie strategie a quelle di contrasto messe in campo dall’industria.

Symantec ha infatti individuato quella che dovrebbe essere la prima occasione ( querelle sulla presunta variante Conficker B++ a parte) in cui gli autori del worm diffondono un upgrade al codice malevolo attraverso il meccanismo di generazione pseudo-casuale dei nomi di dominio preso di mira da Microsoft, OpenDNS, Kaspersky, ICANN, Symantec stessa e parecchi altri.

Il nuovo componente inviato alle macchine infette, sostiene Symantec, rende ancora più aggressiva e complessa l’infezione dotando in pratica il worm di funzionalità di autodifesa e, nel contempo, allargando ancora lo spettro dei possibili domini che i malware writer potrebbero decidere di registrare per impartire ordini al network malevolo.

Se infatti il numero di domini generati quotidianamente era di poche centinaia (per la precisione 250), con il nuovo codice quel numero sale a 50mila al giorno . Si tratta di un chiaro tentativo di “aggirare il lavoro di controcospirazione” delle società di sicurezza (lavoro anche noto come “Conficker cabal”) nei confronti della botnet, conferma il vice-presidente di Symantec Security Response Vincent Weafer.

Per quanto riguarda i meccanismi di autodifesa, poi, la nuova variante del worm è in grado di attaccare e disabilitare gli antivirus e i tool anti-malware sulla macchina infetta o in via di infezione, rendendo in tal modo più arduo il compito di contrasto e rimozione del malware da parte del software antivirale o di strumenti come il Malicious Software Removal Tool di Microsoft.

L’altro dato interessante dell’upgrade di Conficker è la sua consistenza, e di conseguenza le reali intenzioni degli autori : attualmente Symantec è riuscita a scovare la nuova variante su un numero ridotto di sistemi, e sta analizzando la situazione per capire se si tratti di una sorta di aggiornamento sperimentale oppure se sia soltanto l’inizio di una massiccia fase di rafforzamento della botnet, che secondo le stime conterrebbe da 1 a 10 milioni di PC.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

08 03 2009
Link copiato negli appunti