Cerca nel blog

2009/04/03

Il punto su Conficker

Conficker, tanto rumore per nulla? Fate l'esame della vista per sapere se siete infetti


La fatidica data del primo d'aprile, alla quale il virus/worm Conficker avrebbe dovuto devastare Internet secondo alcune fonti (ne trovate qui su Sophos.com una bella compilation), è passata e non è successo nulla di significativo. È soltanto clamore inventato dai media per aumentare gli ascolti o c'è sotto qualcosa di concreto?

Sicuramente i titoli incentrati sulle catastrofi informatiche del primo d'aprile sono stati esagerati. Quello che è concreto è che in quella data Conficker doveva cambiare l'algoritmo che gli dice quali siti contattare per ricevere istruzioni dai suoi padroni, adottandone una versione molto più difficile da contrastare.

Ma il fatto che questa data sia passata senza novità vistose non significa che si può abbassare la guardia: ci sono tuttora alcuni milioni di computer infetti, in giro per il mondo (le stime variano da 2 a 15 milioni), che sono a tutti gli effetti agli ordini dei padroni di Conficker.

Il virus (più propriamente worm) è riuscito a infettare le reti informatiche della Camera dei Comuni nel Regno Unito e delle forze militari di Francia, Germania e Regno Unito. Quest'orda di computer può essere usata in qualsiasi momento per qualunque scopo. Si presume che lo scopo sia, in un modo o nell'altro, il lucro illecito.

Alcuni mesi fa è stato creato il Conficker Working Group, un consorzio di società di sicurezza informatica, che ha recentemente scoperto una sorta di "impronta digitale" di Conficker che ne facilita enormemente l'identificazione. Questo consorzio segnala che Conficker si sta evolvendo: le versioni A e B del virus annidate nei computer infetti in giro per il mondo sono state aggiornate dai suoi padroni alla versione più recente, etichettata Conficker.C, Conficker.D o Downadup.C, che ha cambiato comportamento: non cerca più nuove vittime tramite le connessioni di rete e le penne USB, e invece di aggiornarsi contattando una vastissima serie di siti che cambia continuamente, come ha fatto finora, cerca gli aggiornamenti con un metodo peer-to-peer, contattando altre macchine infette.

Il CWC è riuscito a sabotare buona parte dei tentativi di aggiornamento di Conficker, ma persiste uno zoccolo duro di macchine infette e aggiornate. La difesa si articola su alcuni punti principali:

  • Conficker agisce soltanto su computer Windows: gli utenti Mac e Linux sono immuni ma potrebbero subire gli effetti collaterali di eventuali azioni su vasta scala da parte del virus (se Conficker intasa Internet o devasta un sito, la risorsa diventa inaccessibile per tutti i computer, di qualunque tipo).
  • Ogni file ricevuto, da qualunque fonte, va controllato con un antivirus aggiornato.
  • Tutti i principali antivirus sono in grado di riconoscere Conficker nelle sue varianti.
  • Dato che molte macchine sono ancora infette con la vecchia variante di Conficker, bisogna continuare a fare attenzione nel condividere penne USB e connessioni di rete.
  • Usate password non banali: Conficker è in grado di decifrare quelle più comuni.
  • Uno dei sintomi d'infezione è che i siti dei produttori di antivirus diventano inaccessibili, e per questo è stato creato un "esame della vista" anti-Conficker, disponibile qui, che si basa sul principio di mostrarvi i loghi delle principali società antivirali, tratti direttamente dai loro siti: se li vedete, vuol dire che siete in grado di accere a questi siti e quindi è improbabile che siate infetti da Conficker.
  • Come sempre, gli aggiornamenti di sicurezza di Microsoft, già disponibili da tempo, devono essere installati per turare la vulnerabilità che aveva permesso la propagazione iniziale di Conficker; in particolare deve essere installato l'aggiornamento MS08-67.

Se scoprite di essere già infettati da Conficker, niente paura: contattate un tecnico esperto oppure, se sapete come funziona il vostro PC, scaricate e adoperate uno dei vari strumenti di rimozione gratuiti (Sophos; Symantec; F-secure; McAfee).

Qui sotto trovate una mappa non molto rassicurante delle infezioni di Conficker, tratta dal sito del Conficker Working Group.


16 commenti:

psionic ha detto...

Secondo me era un pesce d'aprile! :-D

Daniele ha detto...

Troppe e: "diventano inaccessibili, e e per questo"

a_lounge_lizard ha detto...

Quindi conficker il primo Aprile non ha scaricato nulla? O ha scaricato qualcosa ma non ha fatto nulla?..Sul sito ho letto che hanno stabilito che scarichera' un nuovo algoritmo per determinare quali domini contattare. Ma non dicono cosa e' successo il primo aprile alla fine...

Paolo Attivissimo ha detto...

Sistemato il refuso, grazie!

sytry82 ha detto...

Dato il significato della parola "ficker" in tedesco ... c'è da essere realmente allarmati! Io non me ne ero accorto di questo virus ... forse xkè ormai la tv è da tempo che ho smesso di guardarla.

Anonimo ha detto...

Secondo l'esame "oculistico" il virus non mi ha contagiato, però io sto usando windows 2000 pro sp4, posso stare tranquillo, visto che di aggiornamenti neanche l'ombra?

Poorman ha detto...

Ancora non ho capito una cosa: come fanno a "stimare" il numero di utenti ancora infetti? "le stime variano da 2 a 15 milioni" ... non sono mica bruscolini!

p.s. Mi fanno morire le ultime due combinazioni dell'"esame della vista"... Poor Internet connection? dehiho!

a_lounge_lizard ha detto...

ah no, ho trovato: dall'analisi di SRI International risulta che:

each C host contacts 500 rendezvous points each day over 116 TLDs with a flat entropy (random domain name space). We see a dropoff in overall levels of DNS activity after hour 3 when it has looked up the IP addresses of all 500 domains. In our case, all these were failed (NXDOMAIN) attempts, as these domains have not yet been registered.

uhmmm quindi semplicemente l'armata di zombie e' li' in attesa di ricevere ordini...

Edo ha detto...

Se scoprite di essere già infettati da Conficker, niente paura: contattate un tecnico esperto oppure, se sapete come funziona il vostro PC, scaricate e adoperate uno dei vari strumenti di rimozione gratuiti (Sophos; Symantec; F-secure; McAfee).

scusa ma se dici che il virus rende inaccessibili i siti degli antivirus che senso ha fornirne i link ?

angros ha detto...

Un altro test molto semplice consiste nell' aprire il programma "Ripristino configurazione di sistema" (se non l' avete disattivato): il virus conficker lo disattiva e cancella tutti i punti di ripristino, perciò se vedete ancora la presenza dei punti di ripristino non siete infettati (suppongo...)

Attenzione, bisogna entrare come root... ehm, come amministratore per usare il programma di ripristino, quindi sul computer che usate al lavoro forse non potete farlo.

Sys Req ha detto...

...• Usate password non banali: Conficker è in grado di decifrare quelle più comuni.
...

Ciao Paolo,
va be' che le pwd lunghe sono consigliate ovunque, ma con questa frase qui sopra a quali pwd ti riferisci? Dell'account utente? Dei servizi internet? Del router? Insomma quali pwd?
Poi io non ho ancora capito se chi ha la famosa patch di aggiornamento (e io ce l'ho) è del tutto immune dal virus o solo dal suo primo metodo d'infezione... cioè, se io con la patch e tutto becco una chiavetta USB con autorun infetto (ho comnque disattivato l'autorun e immunizzato le mie con la cartella autorun.inf), ecco, in quel caso cosa succederà? Oltre alla morte del proprietario della pennetta, s'intende... :D

Slowly ha detto...

Il mio PC dal primo aprile funziona persino meglio:

ho disinstallato...

Va bè lasciamo perdere.

:D

Claudio ha detto...

Poorman: per quelle statistiche che vanno da 2 a 15 hanno preso sicuramente quelle società che si sono occupate degli exit poll nelle ultime elezioni in Italia :D

in ogni caso non insisterò mai abbastanza sul fatto che sostanzialmente tutti questi avvisi trasudino, senza le dovute precisazioni, di terrorismo o per lo meno di FUD nei confronti di windows

e qui non voglio difendere MS ma semplicemente l'utente medio che si può sentire appunto spaventato nell'impiego di un sistema potenzialmente attaccabile da questa o quella minaccia

senza entrare nel merito su come sia convintamente dell'opinione di come la diffusione di una data piattaforma sia determinante (tant'è che anche in natura a sovrappopolazione di un dato animale corrispondono le epidemie, tant'è che le campagne di abbattimento servono proprio per far rientrare il contagio). un esempio illustre è il virus che infettava il phpBB (che è una... piattaforma per forum scritta in php!), diffusissima. inoltre, se ci sono due elementi che sono davveri multipiattaforma sono proprio:
1) l'ingegneria sociale
2) i bachi

dicevo, questo clima di terrorismo che si instaura verso l'utente medio potrebbe essere spezzato facilmente concentrandosi non su cosa fa il virus, su come rilevarlo, su come debellarlo ma su come NON PRENDERLO

mi spiego meglio. anche il tuo articolo, Paolo, dà ampio spazio ad aspetti "negativi", ovvero ai passaggi che interessano più alla assoluta minoranza degli infetti che agli altri; il mio suggerimento è quello di cambiare prospettiva e ripete sempre come PREVENIRE

un po' come se in televisione nel minuto dedicato alla salute del telegiornale ci parlassero del tumore dicendoci che bisogna fare queste analisi, dei cicli di chemioterapia, eventualmente delle operazioni chirurgiche e radioterapia, gli effetti collaterali, la vita rovinata eccetera e a margine come chi assume uno stile di vita salutare è molto meno a rischio. in realtà, e perfortuna, chi parla in televisione MASSIMIZZA il momento che ha a disposizione dicendo ciò che importa, ovvero COME PREVENIRE e QUALI SONO GLI STILI DI VITA CORRETTI, l'alimentazione, lo sport, niente fumo, eccetera: e fa informazione.

l'informazione di cosa fare "se lo prendi" è un'informazione che da una parte è ridondante, in quanto comunque quando ti serve te la vai a cercare, dall'altra rischia di essere superficiale, perchè ovviamente non si può che offrire una panoramica sommaria che potrebbe non essere sufficiente a chi è infetto per debellare effettivamente il virus, e infine è sicuramente NEGATIVA, ovvero che lascia in bocca quel dubbio alla maggioranza che non ha nessun tipo di problema.

da un certo punto di vista, e la mia non vuole essere una critica distruttiva ma un contributo propositivo, si fa disinformazione, per i motivi che ho appena esposto, e sembra che si vada a ricalcare, con i dovuti distinguo, il sensazionalismo dei media.

secondo me la questione è molto semplice. fortunatamente le buone abitudini nell'uso di un computer sono davvero poche quindi quando tutti parlano di conficker e di come esploderà il mondo (media) o si fermerà internet (Paolo) (questa è un po' esagerata :D ), ribadiamo il semplice concetto RAGAZZI, COMPUTER AGGIORNATO - ANTIVIRUS E SISTEMA OPERATIVO - E SIETE A POSTO

poi ovviamente si può essere più prolissi (ovvero spiegare più nel dettaglio le "buone abitudini" o dilungarsi su questioni di secondaria importanza), però ribadisco che rovesciare il punto di vista risulterebbe molto più utile e positivo, per lo stesso concetto che non devi dare il pesce ma insegnare a pescare

preciso che Paolo fa già molto in questa direzione, ad esempio quando parla di ingegneria sociale spiega sempre le buone abitudini da adottare; la mia osservazione, il cui spirito spero venga recepito, è ristretta a quegli sporadici articoli, più tecnici, su bachi e malware

buon weekend a tutti! =)

Tukler ha detto...

@Cesco:
Si, anche il 2000 sp4 aveva quella vulnerabilità, ma l'aggiornamento che la risolveva è disponibile da ottobre, quindi è molto probabile che tu l'abbia già installato da tempo. Se vuoi controllare se ce l'hai da installa applicazioni, è il KB958644.

@angros:
Beh in realtà sono molti i virus che disabilitano il ripristino del sistema... certo che in ogni caso accorgersi che lo è significa che molto probabilmente si è infetti, poi se da Conficker o da altro lo si scoprirà:P

@SysReq:
Ci si riferisce alle password utente, compresa quella di administrator (ma il pericolo vale solo se ci sono computer infetti in LAN).
Una volta installata la patch sei comunque vulnerabile a contagio diretto tramite chiavetta, l'ho testato personalmente;)

Tukler ha detto...

@Claudio:
Beh se segui il sito/blog di Paolo e conosci i libri che ha scritto, saprai benissimo che la prevenzione è esattamente il suo cavallo di battaglia, e che forse se si fosse impostato un hotkey per scrivere la frase "Non eseguite allegati neanche se provenienti da persone conosciute" avrebbe risparmiato qualche ora della sua vita dedicata alla stesura di articoli:P

Neanche questo articolo mi sembra diverso dal solito... dei 7 punti, il primo è di informazione, 2°, 3°, 4°, 5° e 7° sono proprio di prevenzione, e il 6° semmai è dedicato a chi è stato contagiato dalla fobia generale e teme di essere stato infetto, fetta di utenti sicuramente più numerosa di quelli consapevolmente infetti...

Semmai è solo l'ultimo consiglio ad essere destinato a coloro che si sono già accorti dell'infezione, ma mi sembra che nel contesto possa anche starci, no?

Sys Req ha detto...

@Tukler
...Ci si riferisce alle password utente, compresa quella di administrator (ma il pericolo vale solo se ci sono computer infetti in LAN).
Una volta installata la patch sei comunque vulnerabile a contagio diretto tramite chiavetta, l'ho testato personalmente...

Bene, io per fortuna non ho ancora messo su una LAN... e vedrò di attrezzarla bene, quando la farò...
Però mi viene un dubbio: ma le password di administrator e utenti vari non sono craccabilissime anche senza ricorrere al brute force? A me risultava di sì (almeno dalle utility di Nir Sofer, che comunque non ho testato direttamente)...
Comunque, un altro buon motivo per disattivare l'autorun, tanto per cambiare.