Le previsioni degli esperti di sicurezza non erano infondate, era chiaro che il primo di Aprile non sarebbe successo niente, vista l'enorme attenzione rivolta verso il worm.
Ma ad oggi, Conficker è mutato nuovamente, introducendo la sua quarta variante. La notizia arriva dai laboratori Trend Micro, che nella notte del 7 Aprile hanno rilevato un nuovo file sospetto nella cartella dei temporanei di Windows.
Il download di questo file non sembra però associato a nessun traffico di dati sul canale HTTP, ma è giunto sui computer tramite una risposta criptata passata per un nodo Peer to Peer associato già da tempo al worm e locato in Corea.
Il file incriminato è tutt'ora sotto analisi, ma da quanto comunicato, sembra che appartenga alla categoria dei key-logger; software in grado di registrare tutti i tasti premuti sulla tastiera dall'utente al fine di rubare dati personali e sensibili.
Questa funzionalità sembra però pianificata per interrompersi automaticamente il 7 Maggio. Oltre questa data i tasti premuti non saranno più registrati, ma l'enorme mole di computer infetti rimarrà a disposizione dei creatori.
Altre particolarità della nuova variante sono l'affinamento delle tecniche di diffusione già sfruttate in precedenza. SfFacendo leva sulla vulnerabilità trattata in MS08-067, il worm è adesso in grado di attaccare anche IP esterni, se disponibili.
Il malware tenta inoltre di connettersi a grandi domini internazionali quali MySpace.com, MSN.com, eBay.com, CNN.com e AOL.com, probabilmente al fine di stabilire se la connessione a Internet è attiva e funzionante.
Il worm tenta di collegarsi a un dominio appartenente alla botnet creata dal trojan Waledac, dal quale cerca di scaricare un altro file criptato. Sorge a questo punto spontanea una domanda: gli autori di Conficker e di Waledac, saranno gli stessi?
Sono state introdotte altre funzionalità minori, come la capacità di assumere nomi diversi, di disabilitare altri servizi di sistema e di rimuovere le tracce del file nocivo scaricato.
Alla data attuale, la più grande botnet mai esistita rimane inutilizzata: non ci sono prove che sia stata usata per l'invio di spam o per la conduzione di attacchi DDoS.
Il worm è in grado di sfruttare molteplici tecniche di propagazione per diffondersi, ma la presenza della patch MS08-067 dovrebbe essere una protezione abbastanza resistente per arginarne almeno la diffusione.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati