Archivio » 2009 » marzo » martedì 31 »

Conficker, domani il grande attacco

botnet conficker downandup windows worm

Scritto da Italo Vergani

La terza variante del worm-spauracchio attaccherà domani con una metodologia nota, ma con esiti ancora imprevedibili. Pagherà eccedere in prudenza o in disinvoltura?

Allarme rosso per Conficker? Secondo vari media di indiscusso prestigio, dal New York Times al Washington Post, pare proprio di sì (le testate italiane sono, almeno al momento in cui scriviamo, ben meno “sul pezzo”, tranne qualche lodevole caso): l’ultima variante del worm-spauracchio, Conficker.C, è programmata per agire giusto domani.

I predecessori del worm, noto anche come Downadup, hanno creato botnet consistenti, sfruttando l’ormai nota vulnerabilità descritta nel bollettino MS08-067 e corretta con una patch fuori programma a fine ottobre: il codice ha attinto ad alcune novità per aggiornarsi automaticamente attraverso un bel po’ di domini, i cui nomi sono generati automaticamente. Proprio su questa base - l’algoritmo di generazione dei nomi di dominio - chi gestisce i DNS ha iniziato a bloccare l’accesso: fino a poche settimane fa, il worm non è stato in grado di dilagare, pur mantenendosi numericamente consistente.

Conficker.C, scoperto tre settimane orsono, è andato oltre: ha aggiunto al codice funzioni antirilevamento e incrementato il numero dei domini da controllare per aggiornarsi e riprodursi. Un’analisi molto dettagliata a firma SRI spiega: “Si passa da 250 a 50.000 potenziali punti d’accesso via Internet. Ma solo 500 di essi vengono effettivamente ricercati, peraltro una sola volta al giorno”. Quindi, il malware è più intelligente di prima, ma genera meno traffico rispetto al capostipite e alla prima variante: insomma, è meno aggressivo. Ma più furbo: la parola chiave è colpire evitando di lasciare tracce, quali ad esempio un anomalo traffico di rete.

Sapendo che Conficker.C disabilita Windows Update e il Centro di Sicurezza di Windows (cioè entra in casa e tenta di buttare la chiave), è utile fare un backup e aspettare che il worm colpisca? Certo, c’è chi lo suggerisce, ma per un sistema aggiornato l’effetto è quello di indossare contemporaneamente bretelle e cintura, sperando di non rimanere in mutande. E, per l’occasione, un elmetto onde evitare cadute massi e meteoriti letali. In altri termini, tutto può essere utile, ma si può anche cadere vittime di troppa prudenza.

La vera incognita è che domani un worm che ha avuto un’ottima risonanza mediatica sulla scia dei vari ricordi infausti del passato, da Blaster a Melissa, domani contatterà 50.000 domini (pur con i distinguo sopra esposti) e scaricherà altro software. Già, ma quale? E quale sarà il ruolo dei bot? Non resta che aspettare domani, armati di firewall e antivirus in buona forma, nonché di una macchina completamente aggiornata. Magari sperando che chi gestisce i DNS sia rapido e puntuale nel bloccare la diffusione del worm, e - come ultima risorsa - incrociando le dita.