Cerca nel blog

2009/04/03

Il punto su Conficker

Conficker, tanto rumore per nulla? Fate l'esame della vista per sapere se siete infetti


La fatidica data del primo d'aprile, alla quale il virus/worm Conficker avrebbe dovuto devastare Internet secondo alcune fonti (ne trovate qui su Sophos.com una bella compilation), è passata e non è successo nulla di significativo. È soltanto clamore inventato dai media per aumentare gli ascolti o c'è sotto qualcosa di concreto?

Sicuramente i titoli incentrati sulle catastrofi informatiche del primo d'aprile sono stati esagerati. Quello che è concreto è che in quella data Conficker doveva cambiare l'algoritmo che gli dice quali siti contattare per ricevere istruzioni dai suoi padroni, adottandone una versione molto più difficile da contrastare.

Ma il fatto che questa data sia passata senza novità vistose non significa che si può abbassare la guardia: ci sono tuttora alcuni milioni di computer infetti, in giro per il mondo (le stime variano da 2 a 15 milioni), che sono a tutti gli effetti agli ordini dei padroni di Conficker.

Il virus (più propriamente worm) è riuscito a infettare le reti informatiche della Camera dei Comuni nel Regno Unito e delle forze militari di Francia, Germania e Regno Unito. Quest'orda di computer può essere usata in qualsiasi momento per qualunque scopo. Si presume che lo scopo sia, in un modo o nell'altro, il lucro illecito.

Alcuni mesi fa è stato creato il Conficker Working Group, un consorzio di società di sicurezza informatica, che ha recentemente scoperto una sorta di "impronta digitale" di Conficker che ne facilita enormemente l'identificazione. Questo consorzio segnala che Conficker si sta evolvendo: le versioni A e B del virus annidate nei computer infetti in giro per il mondo sono state aggiornate dai suoi padroni alla versione più recente, etichettata Conficker.C, Conficker.D o Downadup.C, che ha cambiato comportamento: non cerca più nuove vittime tramite le connessioni di rete e le penne USB, e invece di aggiornarsi contattando una vastissima serie di siti che cambia continuamente, come ha fatto finora, cerca gli aggiornamenti con un metodo peer-to-peer, contattando altre macchine infette.

Il CWC è riuscito a sabotare buona parte dei tentativi di aggiornamento di Conficker, ma persiste uno zoccolo duro di macchine infette e aggiornate. La difesa si articola su alcuni punti principali:

  • Conficker agisce soltanto su computer Windows: gli utenti Mac e Linux sono immuni ma potrebbero subire gli effetti collaterali di eventuali azioni su vasta scala da parte del virus (se Conficker intasa Internet o devasta un sito, la risorsa diventa inaccessibile per tutti i computer, di qualunque tipo).
  • Ogni file ricevuto, da qualunque fonte, va controllato con un antivirus aggiornato.
  • Tutti i principali antivirus sono in grado di riconoscere Conficker nelle sue varianti.
  • Dato che molte macchine sono ancora infette con la vecchia variante di Conficker, bisogna continuare a fare attenzione nel condividere penne USB e connessioni di rete.
  • Usate password non banali: Conficker è in grado di decifrare quelle più comuni.
  • Uno dei sintomi d'infezione è che i siti dei produttori di antivirus diventano inaccessibili, e per questo è stato creato un "esame della vista" anti-Conficker, disponibile qui, che si basa sul principio di mostrarvi i loghi delle principali società antivirali, tratti direttamente dai loro siti: se li vedete, vuol dire che siete in grado di accere a questi siti e quindi è improbabile che siate infetti da Conficker.
  • Come sempre, gli aggiornamenti di sicurezza di Microsoft, già disponibili da tempo, devono essere installati per turare la vulnerabilità che aveva permesso la propagazione iniziale di Conficker; in particolare deve essere installato l'aggiornamento MS08-67.

Se scoprite di essere già infettati da Conficker, niente paura: contattate un tecnico esperto oppure, se sapete come funziona il vostro PC, scaricate e adoperate uno dei vari strumenti di rimozione gratuiti (Sophos; Symantec; F-secure; McAfee).

Qui sotto trovate una mappa non molto rassicurante delle infezioni di Conficker, tratta dal sito del Conficker Working Group.


Nessun commento: