Punto informatico Network

20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

Il worm Conficker aggredisce i PC non aggiornati

01/12/2008
- A cura di
Zane.
Sicurezza - Avvistato un nuovo worm che sfrutta la debolezza di Windows corretta con l'aggiornamento "extra" rilasciato ad ottobre.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

patch (1) , gimmiv (1) , bot (1) , vulnerabilità (1) , rete locale (1) , lan (1) , malware (1) , worm (1) , conficker (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 362 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Dapprima è arrivato Gimmiv.a, quindi KernelBot, seguito a propria volta da una serie di varianti più o meno pericolose. Ora è la volta di Conficker.A (noto anche come Downadup.A) salire sul palcoscenico.

Come i predecessori, anche Conficker sfrutta la grave vulnerabilità corretta a fine ottobre dall'aggiornamento speciale MS08-067 per propagarsi all'interno delle reti locali in cui l'update non fosse stato debitamente installato.

Una volta "dentro", comunica Microsoft stessa dalle pagine del blog ufficiale Microsoft Malware Protection Center, il worm apre una porta casuale nell'intervallo 1024-10000 e predispone un web server. Inizia quindi l'attività di propagazione vera e propria: ricerca altri calcolatori collegati alla rete locale non debitamente aggiornati e vi si replica, sfruttando il web server per trasferire una copia di sé stesso sul nuovo sistema.

L file trasmesso ha spesso estensione .JPG, ma viene poi salvato sul PC compromeso con un nome casuale ed estensione .dll. Secondo l'analisi presentata a questa pagina, il registro di sistema viene quindi modificato per eseguire il worm come servizio.

Per rendere meno immediata la rimozione, il worm si assicura di azzerare tutti i punti di ripristino presenti sul sistema.

Interessante notare che il worm si assicura di applicare una patch al processo fallato: non si tratta di benevolenza, ma semplicemente di una contromisura studiata per evitare che il sistema possa essere nuovamente compromesso da worm concorrenti che tentassero di aggredire la macchina sfruttando tale vulnerabilità.

A partire dal 1° dicembre 2008 infine, il worm tenta di scaricare ed eseguire il file loadadv.exe dal dominio trafficconverter.biz: sebbene non siano disponibili ad oggi informazioni circa la natura di tale programma, è ragionevole presumere che si possa trattare di una backdoor, o di un qualche altro tipo di malware che possa consentire all'autore di prendere controllo da remoto dei computer aggrediti dal worm.

Arriva anche il bot

Parallelamente all'arrivo del worm, preoccupa anche la scoperta di un bot denominato IRCbot.BH. Sebbene in tale bot non sia ancora attiva la componente "worm" di replicazione automatica, i ricercatori hanno individuato nel codice dell'applicazione l'exploit necessario per consentirne la propagazione, e quindi la potenziale realizzazione di una botnet in caso la funzionalità venisse attivata da remoto.

Come proteggersi

Proprio per le modalità di diffusione via rete locale, il problema interessa più le realtà aziendali che non i clienti privati. Ad ogni modo, la patch indicata nel bollettino MS08-067 è sufficiente per proteggere il sistema dall'aggressione: Microsoft ne consiglia l'installazione immediata a tutti gli utenti.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.34 sec.
    •  | Utenti conn.: 61
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.19