Conficker: Ecco Come Cambiano I Moderni Virus
L’evoluzione che ha subito il malware (fusione delle due parole maliciuous software, cioè software dannoso) in questi anni ha di fatto sfumato il confine tra virus, worm e trojan: le nuove infezioni infatti utilizzano contemporaneamente diverse tecnologie di diffusione e si evolvono rapidamente. Un esempio assai interessante di malware di nuova generazione è costituito da Conficker, un worm noto alle cronache per la sua gran diffusione e per il contenuto di una time bomb che doveva “esplodere” il 1 aprile 2009 (un bel pesce di aprile!).
Questo worm, seppur non ha causato molti danni, da fine 2008 a metà 2009 è rimasta una delle minacce più diffuse ed attive a livello globale. Conficker ha iniziato a diffondersi a novembre 2008, sfruttando una vulnerabilità di Windows (una problematica della procedura di Remote Call; per i dettagli vedere il bollettino tecnico di Microsoft MS08-067). La prima versione del worm, chiamato ConfickerA, ha sfruttato per oltre un mese tale vulnerabilità per installarsi su i PC di tutto il mondo. Dopo essersi installato su un computer, ConfickerA scarica un finto antivirus e un server http che fornisce il codice “malizioso” alla macchina che attacca.
Questa prima versione dell’infezione adotta alcuni semplici meccanismi di protezione antivirus e strumenti simili: usa l’eseguibile rundll32.exe per caricare le sue Dll e continua a cambiare la sua posizione nella cartella System 32, così da non poter essere facilmente intercettato.
La seconda versione del worm, ConfickerB, non installa alcun antivirus, ma sfrutta due nuove tecniche di diffusione: le condivisioni Netbios e i dispositivi removibili (chiavette USB, HD esterni, ecc.). Utilizza poi una procedura matematica per generare una lista di 250 domini da contattare per riceverfe aggiornamenti e abilitare le sue funzionalità di controllo remoto.
Una terza versione del worm, ConlflickerC, rilevato per la prima volta a Marzo 2009, offre a chi lo sfrutta per l’attacco nuove funzionalità di controllo remoto ed una procedura matematica che espande la lista da 250 a 50.000 domini. Ma il vero fattore di novità è costituito dal fatto che FlickerC riesce a creare una infrastruttura P2P per sfruttare e collegare insieme le macchine “infette” e disporre quindi di maggiori risorse per la diffusione. Oltre ad essere più “virulento”, ConfickerC è anche più resistente: è in grado di disabilitare diversi software antivirus e di sicurezza, e blocca le loro funzionalità di aggiornamento automatico.
La quarta ed ultima variante del virus rilevata (nel mese di Aprile) è nota come ConfickerE che conteneva una nuova time bomb, programmata per il 3 Maggio 2009, questa volta con effetto benigno: la disattivazione e la rimozione automatica del worm.
Nonostante l’enorme diffusione di Conficker (con tutte le sue varianti), i danni causati son stati di consistenza limitata. Non sono infatti ben note quali erano le finalità del virus stesso, ma è facile capire che ha offerto un enorme quantità di risorse a chi lo ha sviluppato, creando di fatto una gigantesca rete di computer controllabili da remoto.
Ci sono passato, devo dire con gran dolore..