Conficker si aggiorna passando per il P2P

Torna alla carica il worm Conficker dopo alcuni giorni di silenzio cambiando la sua pelle attraverso il peer-to-peer. La nuova variante, battezzata WORM_DOWNAD.E, si potrebbe preparare così ad un secondo grande attacco

Il mancato attacco su larga scala da parte di Conficker sembrava aver trasformato il temibile vermone in null’altro che un innocuo (seppur fastidioso) animaletto, nonostante gli esperti nel campo della sicurezza avessero ipotizzato un suo risveglio nei giorni successivi, quando l’interesse verso il famoso worm si fosse ampiamente ridotto. Secondo quanto riportato dai laboratori Trend Micro, il temuto risveglio di Conficker sembrerebbe già arrivato attraverso una variante battezzata WORM_DOWNAD.E, pronta a propagarsi attraverso un noto nodo P2P.

La mutazione sembrerebbe aver preso piede la notte del 7 aprile, momento in cui i ricercatori Trend Micro avrebbero scoperto un nuovo file sospetto all’interno della cartella dei file temporanei di Windows. L’arrivo del nuovo file non appare però associato ad alcun traffico di dati all’interno del canale HTTP, ma sembra correlato ad una risposta criptata passata attraverso un canale TCP e proveniente da un nodo IP P2P notoriamente associato a Conficker e residente in Corea. Seppure ancora sotto analisi, il componente scaricato sembrerebbe appartenere alla famiglia dei keylogger e programmato quindi per sottrarre dati sensibili dai computer delle vittime.

Dall’analisi del file sono emerse alcune interessanti particolarità, ovvero la capacità di assumere nomi differenti, di attivare servizi anch’essi casuali e di eliminare le tracce del componente scaricato, nonché di propagarsi (sfruttando la falla MS08-067) verso IP esterni, se disponibili. Il file inoltre agirebbe come server HTTP attraverso la porta 5144 e si connetterebbe ai seguenti portali (molto probabilmente per verificare la corretta connessione ad Internet): MySpace.com, MSN.com, eBay.com, CNN.com e AOL.com. In ultima analisi, è emerso un tentativo da parte del componente scaricato di connessione ad un domino appartenente alla nota botnet Waledac (goodnewsdigital(dot)com), al fine di scaricare un altro file criptato.

La nuova variante costituisce una minaccia solamente per chi è stato già aggredito da Conficker e sostanzialmente la patch di sicurezza Microsoft MS08-067 dovrebbe garantire un alto margine di sicurezza.

DD

Continuo a ripetere e continuerò a farlo…chi l’ha creato, è un grande!
Massimo

Temo che non si sappia ancora tutto di questo Conficker. I miei PC hanno tutti gli aggiornamenti e le patch possibili, nonché l’antivirus sempre aggiornato, più spybot e windows defender. Faccio regolarmente la scansione di dischi, non faccio P2P e non apro un file senza averlo prima scansionato con l’antivirus neppure se lo invio a me stesso. Il 1º Aprile accendo il desktop a casa e mi vedo un bel messaggio che mi dice che “services.exe” ha fatto qualcosa che non ricordo bene e mi sollecita a salvare tutto perché il PC si resetta in X secondi. Detto fatto, impossible entrare nuovamente in Windows, neppure in safe mode, neppure con la configurazione precedente. Ho dovuto formattare e reinstallare. Sospetto fortemente un Conficker anche se non capisco come possa averlo preso né perché non l’abbia trovato. Altri due PC con la stessa configurazione (addirittura uno sullo stesso workgroup) non hanno avuto alcun problema. Mistero….
Jepessen

Effettivamente, scopi più o meno maligni a parte, devo ammettere che è un gran pezzo di ingegneria informatica, vedendo come si evolve…
http://www.playnation.it killahop

…ah quanto e bello usare Windows… Oo