www.MegaLab.it

Dapprima è arrivato Gimmiv.a, quindi KernelBot, seguito a propria volta da una serie di varianti più o meno pericolose. Ora è la volta di Conficker.A (noto anche come Downadup.A) salire sul palcoscenico.

Come i predecessori, anche Conficker sfrutta la grave vulnerabilità corretta a fine ottobre dall'aggiornamento speciale MS08-067 per propagarsi all'interno delle reti locali in cui l'update non fosse stato debitamente installato.

Una volta "dentro", comunica Microsoft stessa dalle pagine del blog ufficiale Microsoft Malware Protection Center, il worm apre una porta casuale nell'intervallo 1024-10000 e predispone un web server. Inizia quindi l'attività di propagazione vera e propria: ricerca altri calcolatori collegati alla rete locale non debitamente aggiornati e vi si replica, sfruttando il web server per trasferire una copia di sé stesso sul nuovo sistema.

L file trasmesso ha spesso estensione .JPG, ma viene poi salvato sul PC compromeso con un nome casuale ed estensione .dll. Secondo l'analisi presentata a questa pagina, il registro di sistema viene quindi modificato per eseguire il worm come servizio.

Per rendere meno immediata la rimozione, il worm si assicura di azzerare tutti i punti di ripristino presenti sul sistema.

Interessante notare che il worm si assicura di applicare una patch al processo fallato: non si tratta di benevolenza, ma semplicemente di una contromisura studiata per evitare che il sistema possa essere nuovamente compromesso da worm concorrenti che tentassero di aggredire la macchina sfruttando tale vulnerabilità.

A partire dal 1° dicembre 2008 infine, il worm tenta di scaricare ed eseguire il file loadadv.exe dal dominio trafficconverter.biz: sebbene non siano disponibili ad oggi informazioni circa la natura di tale programma, è ragionevole presumere che si possa trattare di una backdoor, o di un qualche altro tipo di malware che possa consentire all'autore di prendere controllo da remoto dei computer aggrediti dal worm.

Arriva anche il bot

Parallelamente all'arrivo del worm, preoccupa anche la scoperta di un bot denominato IRCbot.BH. Sebbene in tale bot non sia ancora attiva la componente "worm" di replicazione automatica, i ricercatori hanno individuato nel codice dell'applicazione l'exploit necessario per consentirne la propagazione, e quindi la potenziale realizzazione di una botnet in caso la funzionalità venisse attivata da remoto.

Come proteggersi

Proprio per le modalità di diffusione via rete locale, il problema interessa più le realtà aziendali che non i clienti privati. Ad ogni modo, la patch indicata nel bollettino MS08-067 è sufficiente per proteggere il sistema dall'aggressione: Microsoft ne consiglia l'installazione immediata a tutti gli utenti.