Cerca nel blog

2009/04/10

Virus: Conficker si sveglia, vuole soldi

Conficker rivela il suo piano: ricattare le vittime


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Se vi compare sullo schermo un avviso di SpywareProtect 2009 come quello qui accanto (tratto da Kaspersky.com), probabilmente siete fra le vittime di Conficker, il virus/worm che i media avevano annunciato come un pericolo su vasta scala per il primo d'aprile senza che in realtà succedesse granché.

Adesso che molti hanno abbassato la guardia, Conficker s'è svegliato sul serio, come riferiscono PCworld.com, TrendMicro.com e Kaspersky.com. Veicola varie porcherie virali, una delle quali si spaccia per un antivirus che dice di aver trovato dei pericoli sul computer della vittima e chiede una cinquantina di dollari per "eliminarli".

E' la moda del momento fra i criminali informatici: si chiama scareware, ossia "software che gioca sullo spavento". Circolano vari programmi che dicono di essere antivirus ma in realtà sono programmi ostili che sfruttano la paura degli utenti per convincerli a scaricarli e installarli (e spesso oltretutto pagarli, aggiungendo danno al danno).

Un'altra particolarità di questa nuova evoluzione di Conficker è che i computer che vengono infettati vengono poi dati in affitto agli spammer, che li usano per disseminare la loro posta-spazzatura. L'origine di questo attacco sembra essere l'Est europeo, specificamente l'Ucraina, a giudicare dal fatto che la prima versione del worm controllava il layout di tastiera ed evitava specificamente di infettare il PC se rilevava il layout ucraino, come spiega Microsoft Technet.

La raccomandazione classica è la solita: procuratevi preventivamente un buon antivirus da una fonte fidata (chiedete ad amici e colleghi) invece di accettare le offerte provenienti da sconosciuti; non agitatevi quando compare un messaggio d'allarme sullo schermo, ma riflettete prima di cliccare e chiedete un consulto ad esperto di cui vi fidate.

13 commenti:

mattia ha detto...

"L'origine di questo attacco sembra essere l'Est europeo."

Paolo, potresti essere più preciso?
Hai qualche dettaglio?
Te lo chiedo perché spesso si fa confusione su cosa èl'Est Europeo. Se dicessi l'ovest europeo - ad esempio - cosa intendo?
Scusa per l'eccessiva pedanteria, ma vivendo a Praga sono un po' sensibile a questa definizione di est europeo..

Francesco ha detto...

Ma dai era più conveniente usarlo per una botnet... Cioè prima fanno un virus della miseria e poi lo usano per cavolate simili che potrebbe fare chiunque!

Unknown ha detto...

ma se uno ci casca e paga, i dati della carta di credito passano da un sito sicuro (e si accontentano dei 50 dollari) o se li tengono e ne fanno quello che vogliono?

sempre ammesso che l'eventuale sito sicuro non gli blocchi i trasferimenti...

musson ha detto...

della serie "caramelle da uno sconosciuto" ?

souffle ha detto...

"...vivendo a Praga sono un po' sensibile a questa definizione di est europeo."
---------------------------------------

Tanto più che Praga è più ad ovest di Bari...:-)
Capisco perfettamente questa tua suscettibilità perchè vengo a Praga almeno due o tre volte l'anno fin dal 1991. Questi luoghi comuni sull'Est europeo hanno fatto sì che i truffatori del cambio nero che battevano la Celetna potessero prosperare fino a pochissimo tempo fa e spesso le vittime erano proprio le signore italiane impellicciate coi loro mariti becchi che si aggiravano per la città convinti che, in fondo in fondo, quelli fossero pur sempre dei comunisti mangiabambini.
Quanto a Conficker...chissene strafotte? Get a life, get a Mac!

Unknown ha detto...

Sono server dell' EST (che spesso poi ripuntano in USA) ma non sa chi c'è dietro, questo perchè sono al limite della legalità, ma non la superano !

Unknown ha detto...

Caro @Souffle quello che facevano ad Praga lo fanno ovunque anche nell'Italia del dopoguerra !

Paolo Attivissimo ha detto...

Mattia,

l'origine dovrebbe essere l'Ucraina, a giudicare da queste info:

http://tinyurl.com/absz6f

Aggiungo la precisazione all'articolo.

Unknown ha detto...

ot
ma perche attivissimo.net è giù da stamattina?

www.iMaccanici.org ha detto...

Adesso è il caso di dire Get a Mac?
;-)

Marco ha detto...

scusate l'OT, ma www.attivissimo.net è irraggiungibile da ore

Andrea Sacchini ha detto...

Pare che l'università dello Utah abbia qualche problema con conficker.

Slowly ha detto...

Per verificare se siete infettati da Conficker, visto che ho notato che "l'esame della vista a volte è ambiguo", verificate questa chiave di registro eseguendo il comando "regedit"(XP):

HKEY_LOCAL_MACHINE/Software/Windows NT/CurrentVersion/SvcHost

evidenziate quest'ultima e fate click destro su "netsvcs" nell'elenco di chiavi a destra, quindi scelgiete "modifica".
Scorrete l'elenco.
L'ultima voce in basso dovrebbe essere "helpsvc" o "hkmsvc", dopodiché uno spazio bianco.

Conficker inserisce caratteri random tra l'ultima riga e lo spazio, caratteri che potrete cancellare, se presenti.

Non toccate altro, mi raccomando.