www.MegaLab.it

Il pestifero Conficker/Downadup si riconferma una delle minacce alla sicurezza informatica più significative apparse negli ultimi anni.

Inizialmente sviluppato come un semplice worm in grado di sfruttare una debolezza nei sistemi Windows (rilevata e corretta ad ottobre 2008), il malware si è successivamente evoluto, implementando meccanismi di auto-aggiornamento via via più sofisticati, capacità di difendersi dai tentativi di rimozione, meccanismi in grado di aggredire anche le chiavette USB e le condivisioni di rete.

Conficker si prepara ora ad essere aggiornato: a partire dal primo aprile infatti, il malware scaricherà la nuova versione di sé stesso, identificata come Conficker.C. Per recuperare i nuovi byte malevoli, il programma contatterà una serie di domini generati utilizzando un algoritmo di scelta multipla: con tale tecnica, il cracker (o, più probabilmente, il team di sviluppo) alle spalle del malware è in grado di prevenire la possibilità di arginare l'infezione inibendo un singolo dominio.

La variante "C" sarà caratterizzata da un parziale cambio di rotta: se le versioni precedenti erano infatti contraddistinte da una particolare aggressività dei meccanismi di replicazione, la prossima release mirerà invece a consolidare la propria posizione: il worm sarà ancora più complesso da rimuovere. CA parla infatti di funzionalità in grado di arrestare gli antivirus, inibire l'accesso al Centro sicurezza PC ed a Windows Update, impedire l'esecuzione di molti strumenti di pulizia, disabilitare il riavvio in modalità provvisoria e cancellare tutti i punti di ripristino generati dal sistema operativo.

Nei fatti, l'approccio migliore (se non l'unico) per tentare una rimozione sarà costituito dall'utilizzo di memorie di boot secondarie, quali un CD in grado di avviare la macchina (come il MegaLab.it CD Utility) oppure l'impiego di un disco fisso secondario. Operazioni quindi tutt'altro che semplici, soprattutto per chi si trovasse a fronteggiare un'epidemia in uno scenario aziendale dotato di qualche centinaio di calcolatori..

Ad oggi, rimane ancora ignoto quali siano le intenzioni degli autori di Conficker: nonostante l'altissima diffusione infatti, il codicillo non compie azioni ostili, se non tentare di replicarsi su quanti più calcolatori possibili e attrezzarsi per resistere ai tentativi di rimozione.

Il malware rimane comunque costantemente in attesa di istruzioni dal proprio ideatore: con tutta probabilità, il burattinaio alle spalle di Conficker sta ancora valutando come sfruttare al meglio i milioni di computer ormai compromessi, che potrebbero essere utilizzati come testa di ponte per portare attacchi Distributed Denial of Service (DDoS) su commissione, oppure trasformati in inconsapevoli centrali spara-spam.