Sicurezza - L'ormai celeberrimo malware continua a mietere vittime imperterrito. Ma come funziona di preciso? Quali sono i canali utilizzati per la diffusione? Presentiamo una dettagliata analisi del malware ed i programmi automatici per estirparlo dal PC.
Come dicevo, la peculiarità di un worm risiede nell'uso di molteplici tecniche di diffusione per raggiungere la maggior parte di computer nel mondo.
Alla sua terza versione, identificata da Microsoft come Conficker.D, il malware è in grado di diffondersi secondo le seguenti tecniche:
sfruttando la vulnerabilità corretta dal bollettino di sicurezza MS08-067. Un sistema non debitamente aggiornato, sebbene l'update risalga a oltre 4 mesi fa, potrebbe quindi rimanere vittima del worm.
il worm è in grado di propagarsi anche sfruttando le cartelle condivise tra i computer di una rete locale, LAN o WAN che sia. Questo spiega l'enorme diffusione in ambito aziendale.
inoltre, se gli utenti dei sistemi membri della rete locale hanno password semplici, il worm è in grado di utilizzare un attacco a dizionario per accedere ad esse. Il worm tenterà di accedere alle condivisioni amministrative, cartelle protette da password da cui si può praticamente avere completo controllo sul sistema, e una volta dentro, sarà facile comprometterlo.
Conficker è in grado di infettare tutti i dispositivi USB appena questi vengono collegati all'elaboratore. Poi, grazie alla funzionalità di autorun attiva di default, basterà che la chiavetta venga collegata a un altro sistema per fare in modo che anch'esso venga contagiato. Astuto più del solito, è in grado di aggiungere al file autorun.inf numerosi caratteri senza senso in modo da renderne più difficoltosa la rilevazione e l'analisi. Scorrendo comunque il file, troviamo nelle ultime righe le direttive di apertura della dll e della modifica dell'icona del dispositivo.