Il 1 aprile del virus Conficker: la situazione

Oggi è il 1 Aprile, il giorno degli scherzi ed il giorno di Conficker. Che lo si chiami Downadup, Kido o cos’altro, sapremo soltanto tra 24 ore se il pericolo Conficker si è sgonfiato o meno. Ad oggi si sa soltanto che il virus ha iniziato la sua attività infettiva e che sono in molti ad essersi attivati per limitarne la portata. La giornata rimarrà comunque di piena allerta, a scanso di equivoci.

Il codice del worm è stato progettato per colpire una vulnerabilità segnalata e risolta da Microsoft con la patch MS08-067, distribuita lo scorso 23 ottobre e con tutta evidenza ignorata da troppa utenza. I numeri di Conficker, infatti, si son fatti immediatamente importanti, con milioni di persone colpite e ben 10 milioni di utenti colpiti soltanto dalla terza versione del worm. Il 1 aprile non è la data in cui scatta l’attacco, ma il giorno in cui Conficker accelera semplicemente il proprio ritmo di infezioni arrivando a formulare un maggior numero di domini per tentare di accelerare la propria attività infettiva.

Oggi Conficker è alla sua quarta versione (Conficker.D). Il blog Microsoft TechNet a tal proposito segnala che «il worm si può propagare se un sistema»:

• «è sprovvisto di patch MS08-067 (958644)»;
• «ha delle share aperte in scrittura»;
• «ha delle utenze locali con password deboli»;
• «con la funzionalità Autorun attiva, viene connesso a dispositivi rimovibili (chiavette USB, hard disk esterni) preventivamente infettati»;
• «il worm utilizza le credenziali dell’utente loggato sul sistema infettato per tentare di propagarsi accedendo alla share di sistema ADMIN$ del sistema che intende infettare: quindi, per esempio, se si infetta un sistema su cui è loggato un Domain Administrator, questo sistema è in grado di infettare tutti i sistemi che fanno parte dello stesso dominio. Questo veicolo è quello che probabilmente giustifica il maggior impatto di questa infezione in ambito aziendale rispetto agli utenti finali».