QR code per la pagina originale

Conficker, conto alla rovescia al 1 Aprile

Il 1 aprile sarà il giorno del worm Conficker. Del worm ora si sa qualcosa di più e sarà probabilmente più facile identificarlo e rallentarne l'evoluzione. Nel frattempo emergono truffe parallele da parte di chi tenta di distribuire falsi antivirus

,

È partito il conto alla rovescia: il 1 aprile il codice di Conficker formulerà una diversa metodologia di propagazione ed il worm potrebbe, secondo alcuni esperti, accelerare di molto la propria attività infestante. Le ore precedenti al giorno di Conficker sono un’altalena tra allarme e fiducia, tra chi teme il peggio e chi sminuisce il problema. Ma nel frattempo anche il worm sembra avere un suo bug.

La scoperta è di Tillmann Werner e Felix Leder (Honeynet Project, in collaborazione con il Conficker Working Group) ed è tutta relativa ai messaggi di Remote Procedure Call (RPC): i pc infettati, infatti, risponderebbero in modo particolare ad alcune sollecitazioni tanto che, secondo l’esemplificazione offerta da Dan Kaminsky, «se chiedi letteralmente al server se è infettato da Conficker, lui te lo dice». Il trattato di Leder e Werner è complesso e completo, spiega nei dettagli le scoperte effettuate e mette a disposizione anche un installer (.exe) utile a scoprire i domini generati dal worm per procedere con l’infezione.

Lo scanner prodotto dalla coppia sarebbe già stato inglobato nelle tecnologie Tenable, McAfee, nMap, nCircle e Qualys: l’update del 1 aprile dovrebbe pertanto fornire maggiori informazioni al fine di bloccare sul nascere l’infezione (identificando le possibili infezioni all’interno di un network). Il pericolo, comunque, potrebbe anche essere meno grave del previsto. Secondo Symantec, infatti, i worm realmente dannosi sono quelli a lenta evoluzione, quelli che tentano di non far parlare di sé per meglio approfittare dei bug esistenti. Il grande exploit è invece sotto gli occhi degli esperti e l’informazione quotidiana tende a minimizzare le conseguenze delle minacce emergenti. Conficker potrebbe, insomma, essere vittima di sé stesso: se ne parla ormai da settimane e la spettacolarizzazione che sta per trasformare il pesce d’Aprile in un evento da vivere sul proprio antivirus non aiuterà certo la causa dell’infezione.

Notizie su: