www.MegaLab.it

Le previsioni degli esperti di sicurezza non erano infondate, era chiaro che il primo di Aprile non sarebbe successo niente, vista l'enorme attenzione rivolta verso il worm.

Ma ad oggi, Conficker è mutato nuovamente, introducendo la sua quarta variante. La notizia arriva dai laboratori Trend Micro, che nella notte del 7 Aprile hanno rilevato un nuovo file sospetto nella cartella dei temporanei di Windows.

Il download di questo file non sembra però associato a nessun traffico di dati sul canale HTTP, ma è giunto sui computer tramite una risposta criptata passata per un nodo Peer to Peer associato già da tempo al worm e locato in Corea.

Il file incriminato è tutt'ora sotto analisi, ma da quanto comunicato, sembra che appartenga alla categoria dei key-logger; software in grado di registrare tutti i tasti premuti sulla tastiera dall'utente al fine di rubare dati personali e sensibili.

Questa funzionalità sembra però pianificata per interrompersi automaticamente il 7 Maggio. Oltre questa data i tasti premuti non saranno più registrati, ma l'enorme mole di computer infetti rimarrà a disposizione dei creatori.

Altre particolarità della nuova variante sono l'affinamento delle tecniche di diffusione già sfruttate in precedenza. SfFacendo leva sulla vulnerabilità trattata in MS08-067, il worm è adesso in grado di attaccare anche IP esterni, se disponibili.

Il malware tenta inoltre di connettersi a grandi domini internazionali quali MySpace.com, MSN.com, eBay.com, CNN.com e AOL.com, probabilmente al fine di stabilire se la connessione a Internet è attiva e funzionante.

Il worm tenta di collegarsi a un dominio appartenente alla botnet creata dal trojan Waledac, dal quale cerca di scaricare un altro file criptato. Sorge a questo punto spontanea una domanda: gli autori di Conficker e di Waledac, saranno gli stessi?

Sono state introdotte altre funzionalità minori, come la capacità di assumere nomi diversi, di disabilitare altri servizi di sistema e di rimuovere le tracce del file nocivo scaricato.

Alla data attuale, la più grande botnet mai esistita rimane inutilizzata: non ci sono prove che sia stata usata per l'invio di spam o per la conduzione di attacchi DDoS.

Il worm è in grado di sfruttare molteplici tecniche di propagazione per diffondersi, ma la presenza della patch MS08-067 dovrebbe essere una protezione abbastanza resistente per arginarne almeno la diffusione.