Il 1 aprile del virus Conficker: la situazione

Oggi è il 1 Aprile, il giorno degli scherzi ed il giorno di Conficker. Che lo si chiami Downadup, Kido o cos’altro, sapremo soltanto tra 24 ore se il pericolo Conficker si è sgonfiato o meno. Ad oggi si sa soltanto che il virus ha iniziato la sua attività infettiva e che sono in molti ad essersi attivati per limitarne la portata. La giornata rimarrà comunque di piena allerta, a scanso di equivoci.

Il codice del worm è stato progettato per colpire una vulnerabilità segnalata e risolta da Microsoft con la patch MS08-067, distribuita lo scorso 23 ottobre e con tutta evidenza ignorata da troppa utenza. I numeri di Conficker, infatti, si son fatti immediatamente importanti, con milioni di persone colpite e ben 10 milioni di utenti colpiti soltanto dalla terza versione del worm. Il 1 aprile non è la data in cui scatta l’attacco, ma il giorno in cui Conficker accelera semplicemente il proprio ritmo di infezioni arrivando a formulare un maggior numero di domini per tentare di accelerare la propria attività infettiva.

Oggi Conficker è alla sua quarta versione (Conficker.D). Il blog Microsoft TechNet a tal proposito segnalache «il worm si può propagare se un sistema»:

• «è sprovvisto di patch MS08-067 (958644)»;
• «ha delle share aperte in scrittura»;
• «ha delle utenze locali con password deboli»;
• «con la funzionalità Autorun attiva, viene connesso a dispositivi rimovibili (chiavette USB, hard disk esterni) preventivamente infettati»;
• «il worm utilizza le credenziali dell’utente loggato sul sistema infettato per tentare di propagarsi accedendo alla share di sistema ADMIN$ del sistema che intende infettare: quindi, per esempio, se si infetta un sistema su cui è loggato un Domain Administrator, questo sistema è in grado di infettare tutti i sistemi che fanno parte dello stesso dominio. Questo veicolo è quello che probabilmente giustifica il maggior impatto di questa infezione in ambito aziendale rispetto agli utenti finali».

L’aumentata attività di Conficker non dovrebbe comunque, almeno temporaneamente, comportare problemi di stabilità per alcun sistema poiché, spiega Paul Ferguson di Trend Micro, il progetto non è quello di impedire l’accesso alla Rete da parte degli utenti, ma quello di continuare l’espansione il più possibile proprio attraverso i network infetti. F-Secure segnala che, al momento, il worm non ha causato problema alcuno, o quantomeno nulla di differente rispetto ai giorni precedenti.

Nei giorni scorsi alcuni ricercatori hanno addirittura trovato un piccolo bug nel funzionamento del worm, tale per cui ne è divenuta più semplice l’identificazione all’interno dei sistemi infetti. Il blocco dei domini per cui si prevede l’infezione, inoltre, dovrebbe contribuire a rallentare considerevolmente la portata dell’attacco odierno. In tutto questo emerge il quadro di una situazione in evoluzione, un inseguimento tra guardie e ladri che per ora sembra dare ragione ai primi, ma che ha reso evidente quanto i secondi abbiano potenzialità crescenti e capacità sempre più raffinate.

McAfee, Sophos, Trend Micro e molte altre case antivirus hanno già predisposto quanto necessario per attrezzare i propri antivirus di tutto quanto utile per evitare l’infezione (un semplice update permetterà di aggiornare il software per una protezione totale). Microsoft offre pochi semplici consigli per evitare ogni pericolo: «Come sempre, tenere i sistemi aggiornati, utilizzare password complesse, limitare per quanto possibile le operazioni eseguite con account con privilegi amministrativi riducono di molto il rischio di infezione dei nostri sistemi aziendali». Il Malicious Software Removal Tool ed il Windows Live OneCare safety scanner sono a disposizione per verificare e fermare sul nascere l’eventuale infezione dei propri sistemi aziendali e casalinghi.