Punto informatico Network

20090304173104_794405008_20090304173033_653954111_rootkit.png

Conficker si aggiorna e sfrutta il P2P

14/04/2009
- A cura di
Sicurezza - Trend Micro rileva una mutazione nel celeberrimo worm. Sfrutta il Peer to Peer, installa un key-logger e migliora ulteriormente le funzioni già disponibili nelle precedenti versioni.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

worm (1) , malware (1) , conficker (1) , downad (1) , downad.e (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 148 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Le previsioni degli esperti di sicurezza non erano infondate, era chiaro che il primo di Aprile non sarebbe successo niente, vista l'enorme attenzione rivolta verso il worm.

Ma ad oggi, Conficker è mutato nuovamente, introducendo la sua quarta variante. La notizia arriva dai laboratori Trend Micro, che nella notte del 7 Aprile hanno rilevato un nuovo file sospetto nella cartella dei temporanei di Windows.

Il download di questo file non sembra però associato a nessun traffico di dati sul canale HTTP, ma è giunto sui computer tramite una risposta criptata passata per un nodo Peer to Peer associato già da tempo al worm e locato in Corea.

Il file incriminato è tutt'ora sotto analisi, ma da quanto comunicato, sembra che appartenga alla categoria dei key-logger; software in grado di registrare tutti i tasti premuti sulla tastiera dall'utente al fine di rubare dati personali e sensibili.

Questa funzionalità sembra però pianificata per interrompersi automaticamente il 7 Maggio. Oltre questa data i tasti premuti non saranno più registrati, ma l'enorme mole di computer infetti rimarrà a disposizione dei creatori.

Altre particolarità della nuova variante sono l'affinamento delle tecniche di diffusione già sfruttate in precedenza. SfFacendo leva sulla vulnerabilità trattata in MS08-067, il worm è adesso in grado di attaccare anche IP esterni, se disponibili.

Il malware tenta inoltre di connettersi a grandi domini internazionali quali MySpace.com, MSN.com, eBay.com, CNN.com e AOL.com, probabilmente al fine di stabilire se la connessione a Internet è attiva e funzionante.

Il worm tenta di collegarsi a un dominio appartenente alla botnet creata dal trojan Waledac, dal quale cerca di scaricare un altro file criptato. Sorge a questo punto spontanea una domanda: gli autori di Conficker e di Waledac, saranno gli stessi?

Sono state introdotte altre funzionalità minori, come la capacità di assumere nomi diversi, di disabilitare altri servizi di sistema e di rimuovere le tracce del file nocivo scaricato.

Alla data attuale, la più grande botnet mai esistita rimane inutilizzata: non ci sono prove che sia stata usata per l'invio di spam o per la conduzione di attacchi DDoS.

Il worm è in grado di sfruttare molteplici tecniche di propagazione per diffondersi, ma la presenza della patch MS08-067 dovrebbe essere una protezione abbastanza resistente per arginarne almeno la diffusione.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.13 sec.
    •  | Utenti conn.: 134
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0