Cerca nel blog

2009/01/16

Finite le epidemie di virus? Non proprio

Zitto zitto, Conficker infetta tre milioni e mezzo di utenti


Anche a voi pare strano che da un bel po' di tempo a questa parte non ci siano più le epidemie di virus informatici che periodicamente si scatenavano in passato? Infatti ci sono ancora, ma sono diventate più discrete, ora che lo scopo delle infezioni non è fare danni visibili, ma introdursi di soppiatto per poi usare il sistema infetto per altri crimini.

F-Secure segnala appunto Conficker, noto anche come Downadup, che si aggira per la Rete da novembre scorso e sfrutta una vulnerabilità di Windows (la MS08-067) che Microsoft ha già corretto da tempo (da ottobre 2008). L'ultimo conteggio indica che i PC infettati nel mondo sono oltre tre milioni e mezzo.

E' una stima piuttosto precisa, perché una delle caratteristiche di Conficker è quella di "chiamare casa": dopo essersi insediato nel computer della vittima, si collega automaticamente a vari siti, dai quali scarica un programma ostile scelto dai suoi padroni. Una tecnica in sé non nuova, ma proposta qui con una variante che la rende molto più pericolosa che in passato.

Infatti gli altri virus che "chiamavano casa" potevano essere bloccati in un modo molto semplice: i responsabili della sicurezza di Internet facevano bloccare l'accesso al sito chiamato dal virus, che così non poteva più scaricare nulla o prendere ordini dai suoi malvagi creatori. Una decapitazione efficace e radicale che invece non fa un baffo a Conficker, perché questo virus (più propriamente un worm, visto che si autopropaga) si collega ogni giorno a un sito differente.

Conficker sa a quale sito collegarsi perché contiene, come dice F-Secure, "un algoritmo complesso che cambia quotidianamente e si basa sui timestamp di siti pubblici come Google.com e Baidu.com. Con questo algoritmo, il worm genera molti nomi di dominio possibili ogni giorno. Centinaia di nomi, come : qimkwaify .ws, mphtfrxs .net, gxjofpj .ws, imctaef .cc, and hcweu .org" (F-Secure li scrive spaziandoli per motivi di sicurezza). Così diventa impossibile farli chiudere tutti per tempo, anche perché molti di questi nomi non vengono neanche attivati e registrati. Ai criminali basta invece scegliere uno solo di questi nomi, registrarlo e collocarvi il proprio sito e software per avere pieno accesso ai computer delle vittime. Astuto.

Questo sistema è però sfruttabile anche da società di sicurezza come appunto F-Secure, che è riuscita a prevedere alcuni di questi nomi di dominio e li ha registrati e attivati: si è così infiltrata e riesce a monitorare l'infezione. In teoria potrebbe anche agire sui computer infettati, ma sarebbe contro le regole (sarebbe un'intrusione). Da qui deriva il conteggio preciso delle vittime. Symantec ha pubblicato i dati di un monitoraggio analogo.

L'altra particolarità di Conficker è l'ingegneria sociale che adopera per convincere le sue vittime: come spiega Sans.org, questo worm non si limita a sfruttare la falla
MS08-067 sui computer non aggiornati (e chi non li ha aggiornati è un incosciente), ma tenta di scoprire per forza bruta le password di amministratore sulle reti locali, si propaga utilizzando le condivisioni di rete locale e soprattutto infetta i dispositivi rimovibili (penne USB, dischi esterni) creandovi un particolare file autorun.inf e depositandovi una DLL.

Per definizione, qualsiasi file autorun.inf viene eseguito automaticamente dalla funzione Autoplay di Windows quando si inserisce un disco o un CD/DVD o una penna USB (bella furbata, direte voi). Questo vuol dire che se inserite nel vostro computer Windows una penna USB infettata da Conficker, Windows aprirà automaticamente il file autorun.inf scritto dal worm e ne eseguirà le istruzioni.

Per esempio, sotto Windows Vista verrà presentata automaticamente una finestra come questa:



Qui scatta l'ingegneria sociale: la prima icona etichettata innocuamente "Open folder to view files" ("apri la cartella per visualizzare i file") sembra appartenere a Windows, e in effetti è così, ma è stata richiamata da Conficker, che la usa come travestimento. Cliccando sull'icona, infatti, verrà lanciato Conficker e il computer verrà infettato.

I rimedi contro questo genere di infezione sono molteplici:

  • aggiornare Windows con gli aggiornamenti automatici e gratuiti di sicurezza
  • usare un antivirus aggiornato per scandire tutto quello che viene inserito o collegato al computer
  • disabilitare funzioni intrinsecamente pericolose, come l'Autoplay (le istruzioni sono facilmente reperibili in Rete a seconda della versione di Windows, per esempio qui)
  • evitare l'uso promiscuo di penne USB (per esempio per scambiarsi file fra amici o colleghi)
  • non cliccare prima di riflettere sul senso del messaggio sullo schermo

Una chicca finale: secondo The Register, Conficker evita di attaccare computer che si trovano in Ucraìna. Questo potrebbe indicare dove risiedono i suoi padroni.

18 commenti:

Luigi Rosa ha detto...

Paolo, converrai pero' che non usare le chiavette USB per scambiare dati e' un po' un controsenso, visto che i floppy non vengono piu' forniti con i PC e la loro capacita' sarebbe comunque inadatta per lo scambio di certi file. Ci sono contesti (assenza di LAN, limitazioni dello scambio via Internet, necessita' contingenti) in cui la chiavetta e' l'unico vicolo di scambio dati.

Sugli altri consigli nulla da eccepire.

Slowly ha detto...

Se ho capito il senso del passaggio, intendeva dire di non attaccarne troppe insieme ma una volta, usando il desktop come "ponte" per monitorizzare meglio eventuali anomalie portate dalla chiavetta.

Altrimenti mi scuso! :P

Dopotutto sono proprio le chiavette USB il magior veicolo, oggi, subito dopo Internet.
Se anche nei "CD Driver" se ne trovano, come abbiamo da poco visto...

Andrea Sacchini ha detto...

> I rimedi contro questo genere di infezione sono molteplici:

Paolo, ne hai dimenticato uno: non usare Windows. ;)

Paolo Attivissimo ha detto...

Purtroppo con Conficker l'utente Windows non patchato e non protetto è tornato ai tempi dei floppy infetto bootabile, con l'aggravante che qui non occorre neppure fare reboot.

Concordo che la penna USB è spesso l'unico veicolo possibile, ma occorre sapere che questo veicolo comporta rischi. Prevenibili, ma li comporta.

L'importante è sapere che ci sono, e che per l'utente Windows medio infilare incautamente la propria chiavetta nella porta USB di un'altra macchina può lasciare dei ricordini spiacevoli.

Ogni riferimento alla biologia è puramente casuale :-)

Luigi Rosa ha detto...

@Slowly: a fine anni '80 e nei primi anni '90 i floppy erano il veicolo principale per la trasmissione di virus. Addirittura uno dei virus piu' bastardi di Mac OS 6.x si diffondeva tramite floppy sfruttando una vulnerabilita' dell'autoload di una risorsa dei floppy.

Il mio punto e' non esagerare (e Paolo non l'ha certo fatto) nella demonizzazione del medium quando bastano delle regole di "safe hex" per star piu' che tranquilli.

E' ovvio e naturale che i virus informatici sfruttino i veicoli d'infezione piu' utilizzati dagli utenti (email, web phising, usb).

Slowly ha detto...

Luigi
"Il mio punto e' non esagerare (e Paolo non l'ha certo fatto) nella demonizzazione del medium quando bastano delle regole di "safe hex" per star piu' che tranquilli".

Decisamente d'accordo!

Avion ha detto...

evitare l'uso promiscuo di penne USB (per esempio per scambiarsi file fra amici o colleghi)
Miseriaccia, sembra di essere tornati indietro di 20 anni quando si raccomandava di non scambiarsi le siringhe tra tossicodipendenti. ._.

Unknown ha detto...

Nell'azienda dove lavoro oltre 1000 pc sono stati infettati, bisogna dire però che tanto sono stati furbi a creare questo virus, tanto hanno avuto una "dimenticanza" non da poco. Fortunatamente qualsiasi azienda che usa un proxy non ha il rischio che vengano fatte connessioni verso i vari siti web, in quanto il virus non utilizza la stringa proxy dei client. Questo permette di contenere all'interno i dati dei client; però vengono generati miliardi di connessioni sulla porta 445 intasando pesantemente la rete LAN. Tutto ciò mi ha regalato una 24 ore di lavoro da lunedì a martedì.

Saluti,
Claudio.

SnIPer79 ha detto...

La mia esperienza con il conficker ha avuto conseguenze pesanti.
Lavoro in Spagna, in un noto ospedale, e nel periodo di meno attenzione, subito dopo il capodanno, si incomincia a notare strani errori rpc sui DC, era il conficker, il nostro antivirus non l'aveva nemmeno visto da lontano e solo qualche giorno fa hanno rilasciato il fix, immaginate la rete in che condizioni versava, completamente satura, migliaia di pc infettati, e ospedale quasi fermo. Un disastro, per un virus ke era considerato di bassa diffusione.

Angelo ha detto...

segnalo due refusi:

alcuni di questi nomi di dominio e li ha registrati e ativati (attivati).

Google.come e Baidu.com (e di troppo in .com dopo google)

ciao

Angelo ha detto...

Condom millimetrati in Mbyte per chiavette USB contro la trasmissione di virus?

Paolo Attivissimo ha detto...

Refusi sistemati, grazie!

martinobri ha detto...

Ehm... non irridetemi per l'ingenuità di questa domanda... se la falla è di ottobre 2008, io che tengo sempre aperti gli aggiornamenti automatici di Windows dovrei essere al sicuro, no?

Al sicuro dal virus, non al sicuro da Windows :-))

Francesco ha detto...

Ho avuto a che fare con virus su pen-drive autoeseguibili. Per fortuna niente di grave...
Aggiorno periodicamente Windows e controllo il traffico di rete per vedere se c'è qualche programma sospetto.

Per curiosità: ma su Vista non dovrebbe bloccare l'installazione dei programmi che scarica il virus, con l'UAC?

giob ha detto...

Una maniera per evitare di farsi infettare le chiavette USB è questa: creare una cartella di nome AUTORUN.INF sulla chiavetta, così il malware non potrà creare il file AUTORUN.INF; io metto anche gli attributi di sola lettura e nascosto alla cartella creata. Naturalmente se in futuro diventeranno più "intelligenti" potrebbero cancellare la cartella autorun e sostituirla con il file...

Hacker ha detto...

ma vi da probrlema il fatto che venite infettati dai creatori dei famigerati virus come me

che divertimento vedervi soffrire

Paolo Attivissimo ha detto...

che divertimento vedervi soffrire

che pena vederti trolleggiare così maldestramente.

Turz ha detto...

che divertimento vedervi soffrire

Proprio noi lettori di Paolo Attivissimo siamo quelli che soffrono meno per i virus.