1 Aprile, Conficker in arrivo: istruzioni all'uso

Una certa dose di presenza scenica ha permesso a Conficker di alzare molto il livello di guardia da parte dell’informazione del settore su di un worm che ha promesso di fare uno scherzetto all’utenza proprio nel giorno principe per gli scherzi in tutto il mondo. Il worm sta mietendo vittime ad un ritmo che ha da tempo consigliato gli esperti di rimboccarsi le maniche e sviluppare quanta più informazione possibile attorno ad un worm che con un po’ di attenzione può essere tranquillamente dribblato semplicemente aggiornando il proprio sistema (in particolare con la patch MS08-067, ma un controllo generale con Windows Update non è cattiva abitudine) ed il proprio antivirus.

In queste ore si moltiplicano gli appelli affinché l’occasione del 1 Aprile, catastrofica o meno che possa essere, possa diventare un’opportunità per fare informazione e sensibilizzare l’utenza ai temi della sicurezza informatica (piaga che l’intera community dei navigatori deve condividere in quanto ad oneri e responsabilità). Computer Associates limita a Conficker.C la propria analisi: «Il worm/Conficker.C non colpirà solo il 1 Aprile ma anche nei giorni successivi, probabilmente il 2 e il 6 Aprile, generando per ogni giorno ulteriori liste di domini Internet differenti (50,000 domini differenti creati ogni singolo giorno menzionato). I domini generati sono di ausilio per il worm al fine di scaricare copie di se stesso o di altri malware sui pc infetti. Ma la minaccia del virus non si ferma qui: worm/Conficker.C è stato progettato per bloccare l’accesso ai più noti siti di sicurezza come i bollettini Microsoft e gli aggiornamenti di sicurezza delle principali software house antimalware, tra cui CA. Non solo, una volta infettato, il pc viene declassato dalla sua configurazione di sicurezza interagendo e alterando il registro di sistema, disabilitando servizi importanti e cancellando definitivamente tutti i punti di “Ripristino di Configurazione di Sistema” con lo scopo di evitare che l’utente vittima ristabilisca una sessione precedente del sistema non infettata».

A distanza di pochi giorni dalla fatidica scadenza, quando il worm dovrebbe scatenare con maggiorata forza il proprio impeto sulla rete, un post giunge inoltre a fare chiarezza sui termini del pericolo. Perché l’allarme non serve, se non è direzionato ad un approccio costruttivo. All’uopo, il post di Feliciano Intini sul blog Microsoft TechNet stempera i toni apocalittici dei giorni passati e, oltre a presentare la quarta variante del worm (Conficker.D) consegna tre note:

• Il rischio non si è alzato negli ultimi giorni e la spettacolarizzazione dello scadenziario va interpretata nel modo corretto: «Quello che effettivamente cambia in questa nuova variante è il numero di tentativi di contatto e di download: dal 1 di aprile ci si può ragionevolmente aspettare un aumento di traffico di rete prodotto dai sistemi infetti e il rischio di download di nuovo malware»;
• «prima di preoccuparsi di quello che possono provocare i sistemi infetti, ci si deve focalizzare su cosa si deve fare per prevenire l’infezione, e questa variante non cambia la lista delle attività che sono richieste agli amministratori di sistemi per impedire l’infezione»;
• «a voler proprio esser precisi, la variante D in questione è addirittura meno aggressiva poiché non usa tutti i vettori di attacco delle precedenti versioni per propagarsi verso altri sistemi in rete».

«Se i nostri sistemi sono già attrezzati per non infettarsi, non hanno nulla di cui temere». Di qui al 1 Aprile, dunque, occorre occuparsi di questo: evitare che Conficker possa avere un tappetino rosso verso un sistema lasciato in balìa di una vulnerabilità aperta.