Cerca nel blog

2009/12/18

Che fine ha fatto Conficker?

Non ci sono più i virus di una volta? Ci sono, ma stanno dormendo e prima o poi si sveglieranno


Dove sono finiti i grandi virus? Il decennio che si sta chiudendo era partito con grandi infezioni di massa, come Iloveyou, che nel 2000 infettò circa 50 milioni di computer, Code Red nel 2001, Slammer nel 2003, e così via. Ma ormai sono anni che non capita più una grande infezione devastante. Oggi le regole del gioco sono diverse: si infettano ancora i computer, ma senza dare nell'occhio, per usarli per altri scopi.

C'è un caso, in particolare, che sta mettendo in agitazione da tempo gli addetti ai lavori. Nei primi mesi del 2009 c'è stato infatti un notevole allarme per Conficker, che sembrava destinato a ripetere gli exploit da prima pagina degli illustri (o infami) predecessori succitati, avendo infettato con successo per esempio le reti informatiche della Camera dei Comuni e di vari ospedali nel Regno Unito e delle forze militari francesi, tedesche e britanniche. Poi più nulla. Il primo d'aprile, data prevista di attivazione del virus (più propriamente worm), doveva esserci la catastrofe, ma non c'è stata. Cos'è successo?

Conficker non è stato debellato: è ancora là fuori, in letargo, e gli esperti si stanno chiedendo quando si sveglierà e che cosa combinerà. Secondo le ricerche del Conficker Working Group, il team di specialisti formatosi proprio per gestire questa specifica minaccia dormiente, il worm ha infettato sproporzionatamente i sistemi informatici in Africa, in America Latina e nei paesi in via di sviluppo, e al momento è presente in tutto il mondo dentro circa sei-sette milioni di PC Windows. Secondo il CWG, non c'è mai stata un'infezione così pervasiva e persistente.

Un successo senza precedenti dal punto di vista dei misteriosi gestori di questo software ostile, ma un successo che forse li ha spiazzati: si trovano fra le mani un potenziale enorme, probabilmente maggiore del previsto, e non sanno come sfruttarlo senza bruciarlo e attirare troppa attenzione. Conficker è come una bomba atomica: troppo potente per poterla usare, se non in situazioni estreme, e con il rischio di scatenare una reazione violentissima dell'avversario.

Il CWG mette a disposizione i link agli antivirus che da tempo riconoscono ed eliminano Conficker, ma l'infezione persiste. I dati per la Svizzera, per esempio, indicano quasi 2200 indirizzi IP infetti (quindi, grosso modo, altrettanti computer); quelli per l'Italia segnalano circa 150.000 indirizzi IP dai quali fa capolino Conficker. Le statistiche del CWG fanno nomi e cognomi dei provider che ospitano gli appestati, e ce n'è per tutti.

Siamo insomma seduti su un vulcano. È quindi il caso di fare qualche controllo antivirale in più, specialmente sulle penne USB e sui dischi rigidi scambiati con amici e colleghi, prima che i padroni di questo worm si sveglino e decidano di usare il loro strumento (e magari il vostro computer) per scopi sicuramente non confortanti.

28 commenti:

Luigi Rosa ha detto...

Molti (se non tutti) antivirus hanno i database per i virus "attuali" e non quelli "storici". Di solito chi produce antivirus e' comunque pronto a rimettere nelle definizioni le signature dei vecchi virus.
Questo come ulteriore motivazione a tenere sempre il proprio antivirus e il proprio sistema operativo aggiornati.

Giovanni ha detto...

Io conficker lo continuo a togliere dai pendrive di colleghi e amici che chissà in che pessime situazioni situazioni tecnoigieniche tengono i loro computer.
Quando dico loro che ho trovato un virus mi guardano increduli e mi rispondono cose come "ma il virus sarà nel tuo computer, sul mio non trova niente".
Ovviamente segue la spiegazione dell'aggiornamento dell'antivirus, del tenerlo attivo, dell'effettuare la scansione di ogni supporto esterno, etc etc...
Ma sono sicuro che i miei suggerimenti cadranno nell'oblio, finchè conficker non sbadiglierà e allora tornaranno a chiedere "aiuto", disperati.

Gik ha detto...

Io uso linux e non ho di questi problemi, ma capsico che la stragrande maggioranza delle persone non capisce cosa sta succedendo al pc l'80% delle volte che succede qualcosa, quindi la minaccia è reale :)

Federico ha detto...

Il Conficker è un worm, non un virus, per cui l'antivirus non è lo strumento adatto per bloccarlo. Qualche cosa gli antivirus riescono a fare, ma non sono gli strumenti adatti per bloccarlo.

Il problema del Conficker è che utilizza molti sistemi di infezione. Uno è la mancanza di una patch di sistema, rilasciata circa un anno fa. Ma gli altri sono delle "debolezze" tipiche di tutti i sistemi molto difficili da risolvere.

Hai un PC con la password di amministratore debole? Ti arriva il worm!
Sei un amministratore del dominio e ti becchi il worm? Come minimo hai sbagliato lavoro! :-) ma nel frattempo, infetti tutta la rete!
Hai lasciato in giro per la rete cartelle in lettura/scrittura? Ti arriva il worm!
Usi chiavette USB per scambiare dati da un PC infetto? Questo è l'unico caso in cui l'antivirus può fare qualche cosa!

Questa è la ragione per cui il Conficker è molto diffuso nelle aziende, ma poco diffuso nei PC domestici.

Comunque confermo che il Conficker è geniale... tutte le "debolezze" di un sistema sono da sempre note a tutti, è solo che da sole non fanno particolarmente male (es. un worm che sfrutta le password deboli lo si poteva creare da sempre, e in qualsiasi ambiente anche non solo Win) ma messe assieme sono un grosso potenziale!

FridayChild ha detto...

Da mesi Conficker dorme. In questi mesi l'umanità intera, più o meno, avrebbe avuto il tempo di sbatterlo fuori dai propri computer. E invece, guardando p.es. l'Italia, ancora CENTOCINQUANTAMILA indirizzi IP infetti.
Deprimente.

MrPatol ha detto...

Ultimamente sono capitato su un virus - probabilemnte nuovo - ma invisibile ai più comuni antivirus: Kaspersky, avast, avg. Ho infine trovato un nuovo strumento molto interessante dove se non trova una definizione nella propria bancadati locale la cerca su una online. E' forse un po' "consumista" di rete e da valutare la privacy, ma è estremamente efficace. Purtroppo la versione gratuita rileva solo i file infetti e quella a pagamento (ca. 30$/anno) li rimuove.
Per i professionals inoltre segnala via email/SMS all'amministratore quando una macchina affiliata al proprio account Prevx trova una minaccia.
www.prevx.com

Replicante Cattivo ha detto...

Beh, almeno Conficker si differenzia dall'influenza suina o dal millennium bug*...spariti con la stessa velocità con cui parevano minacciare lo sterminio di massa (di uomini o di pc)

Claudio ha detto...

Federico: il Conficker si propaga quasi unicamente nelle reti aziendali perchè solo lì ci sono tanti computer in rete che aspettano mesi prima di vedere gli aggiornamenti applicati.

Paolo: continuo a non condividere il tono allarmista, ormai certe infezioni sono sicuramente un ricordo del passato. Il fatto che ci siano 150 mila computer infetti su immagino almeno una 20ina di milioni è quello che reputo un dato statisticamente non significativo. Ai tempi del DOS, lì si che c'erano le vere piaghe; poi sicuramente qualcosa abbiamo visto in conseguenza alla diffusione di Internet ma adesso il livello di attenzione è enormemente più alto, e pertanto è enormemente più difficile che si vedano altre grandi pandemie (termine che va molto di moda oggi).

Alla fine il dato del Conficker non fa altro che ricordare all'utente comune che se hai un computer e te ne freghi delle avvertenze che questo in tutti i modi ti fa presente, beh, affari tuoi.

Tra l'altro mi piacerebbe confrontare il dato con il numero di installazioni pirata di Windows (tipicamente meno propense ad essere aggiornate), a naso enormemente più alto. Già il fatto che non si riproponga lo scenario di un tempo, in cui una percentuale molto alta di PC con Windows pirata era infetto (e quindi a sua volta fonte di attacchi), mi sembra un successo non indifferente.

So' L'enigmista ha detto...

Ora dico una cosa un po'ingenua, se è una scemenza correggetemi... Non si sa che cosa possa fare Conficker perché Conficker aspetta un ordine dal suo creatore. Come? Leggo su en.wikipedia: "Downloads daily from any 500 of 50000 pseudorandom domains over 110 TLDs". Mossa? Bloccare in anticipo la creazione di questi domini. Ma non si potrebbe invece combattere il virus sul suo stesso terreno? Ovvero creare volutamente uno di questi domini, inserendovi un payload per Conficker appositamente confezionato? Conficker non saprebbe mai se il payload viene dai suoi creatori o da qualcun altro, e lo eseguirebbe. Ma il payload direbbe "Conficker fai harakiri". Troppo facile?

ǚşå÷₣ŗẻễ ha detto...

""Conficker fai harakiri". Troppo facile?"

Temo di sì, perchè il difficile è parlare la stessa lingua di Conficker. Può darsi che il tuo ordine venga letto da Conficker come "Cornflakes dai contagiri" :D

Tukler ha detto...

@Federico:

Si, ma devi precisare che la password di amministratore debole, il sistema non patchato e le condivisioni vengono attaccate solo via lan, quindi dev'esserci già in rete locale un altro computer infetto.

E' per questo che la diffusione è particolarmente diffusa nelle aziende!


@Claudio:

La mancanza di aggiornamenti è appunto causa di contagio solo via rete locale, quindi prevalentemente in azienda, ambiente in cui si trovano sicuramente meno copie illegali di Windows.
Diciamo che chi si doveva occupare di quei computer non aveva neanche quella di scusa per non fare gli aggiornamenti;)

Tukler ha detto...

@Claudio:
Il fatto che ci siano 150 mila computer infetti su immagino almeno una 20ina di milioni è quello che reputo un dato statisticamente non significativo. Ai tempi del DOS, lì si che c'erano le vere piaghe

Ma proprio perché è un worm, il problema non sta nei danni che fa ai computer... se ci sono tante infezioni dormienti è proprio perché non compromette il sistema.
Ai tempi di DOS sicuramente le percentuali di infezione erano più alte, ma il numero di computer infetti molto più basso.

Guarda l'altro articolo di oggi sullo spammer e guarda cos'è riuscito a fare con una botnet di 35mila computer infetti.
Pensa cosa potrebbero fare questi con 6 milioni di computer, se riuscissero a contattarli e attivarli.

Tukler ha detto...

@Enigmista:
Leggo su en.wikipedia: "Downloads daily from any 500 of 50000 pseudorandom domains over 110 TLDs".

Quella riga su Wikipedia è riferito al Conficker D (che credo il CWG chiami Conficker C, mentre il Conficker C nominato da Wiki è chiamato Conficker B++ dal CWG).

Mossa? Bloccare in anticipo la creazione di questi domini.

Questo è possibile per Conficker A e B, e infatti se la stragrande maggioranza delle infezioni consiste ancora in quei due è proprio perché sono stati isolati e non riescono ad aggiornarsi.

Conficker C invece è quello che genera ogni giorno 50000 nomi dominio random su 110 TLD diversi, di questi ne contatta 500 a caso, e basta che ne funzioni 1 perché gli aggiornamenti si diffondano.

Inoltre, costruisce una specie di rete P2P tra i computer infetti, dove a sua volta vengono distribuiti gli aggiornamenti.
Per questo è praticamente impossibile da bloccare a livello di rete.

Per fortuna si sono sottovalutati e hanno commesso il passo falso di fargli scaricare il solito antivirus finto (SpyProtect), e grazie a questo molta gente ha capito di essere infetta da qualcosa.

Secondo il CWG comunque ci sono ancora circa 500000 computer infetti da Conficker C, e questi potrebbero essere contattati in ogni momento dai creatori, cosa molto più improbabile per quelli infetti da A e B.

Ma non si potrebbe invece combattere il virus sul suo stesso terreno? Ovvero creare volutamente uno di questi domini, inserendovi un payload per Conficker appositamente confezionato? Conficker non saprebbe mai se il payload viene dai suoi creatori o da qualcun altro, e lo eseguirebbe. Ma il payload direbbe "Conficker fai harakiri". Troppo facile?

Si, troppo facile, il payload è firmato con chiave asimmetrica;)

So' L'enigmista ha detto...

Si, troppo facile, il payload è firmato con chiave asimmetrica;)

Qualcuno raccolga da terra la mia mascella!

Lorenzo ha detto...

Consiglio questo link in cui ho raccolto alcune informazioni sul famigerato virus.

Guido Q ha detto...

Mi incuriosisce il fatto che nel grafico ci siano degli avvallamenti ripetuti, con un periodo di circa sette giorni. Vuol dire che durante la settimana la gente scarica robaccia e poi nel weekend fa girare l'antivirus? :-) Non capisco…

Guido

Luigi Rosa ha detto...

@GuidoQ: nel fine settimana molte aziende sono chiuse.

Tukler ha detto...

Qualcuno raccolga da terra la mia mascella!

Ma infatti il C (o D che dir si voglia) è fatto veramente bene, già solo il fatto che si crei la rete P2P per propagare il payload...!

C'è solo da chiedersi perché l'autore non l'abbia creato direttamente così... o s'è sottovalutato, e di molto, e all'inizio ha voluto fare qualcosa di semplice tanto per provare, o nel sviluppare le versioni nuove è stato aiutato da qualcun altro.

Se avesse tirato fuori direttamente il C quando ancora aveva tutte le porte aperte, col cavolo che sarebbero riusciti a limitarlo!

Tukler ha detto...

Tra l'altro, i 6 milioni di cui si parla sono 6 milioni di IP, non 6 milioni di computer.
Il che significa che, essendo un worm particolarmente efficace all'interno delle LAN, i computer infetti potrebbero essere molti di più.

dovella ha detto...

:D Questa viene dopo l'influenza suina?

Stavolta vi venderanno vaccini informatici?

Ahhahha , mannaggia mannaggia

Alfred Borden ha detto...

nel fine settimana molte aziende sono chiuse

Non a caso nel fine settimana, e nei giorni festivi in genere, la quantità di spam nella casella di posta è 1\4 rispetto ai giorni feriali.

Tukler ha detto...

@dovella:

Beh, d'altronde la tesi cospirazionista secondo la quale i virus sarebbero creati dai produttori stessi degli antivirus è in giro dall'alba dei tempi;)

Mike J. Lardelly ha detto...

Mi permetto di segnalare questo documento di straordinario interesse (almeno spero) per Paolo

http://www.youtube.com/watch?v=YVanXFKS8DM&feature=rec-fresh+div-r-2-HM

Paolo Attivissimo ha detto...

Mike,

il mitico salto di Kittinger! Quelli sì che erano tempi eroici. Mi mancano. Oggi siamo troppo angosciati dal rischio. Allora ci si bardava alla buona e lo si accettava.

Robert ha detto...

Ricordo che a inizio anno una mia amica m'aveva detto che il suo ex le aveva installato di nascosto Conficker sul suo pc per controllarla :)

In pratica l'antivirus aveva rilevato la presenza di questo worm :)

--
Ieri sono stato a casa di un'amica perchè il suo pc è diventato improvvisamente lento.
A me sembrava tutto a posto e le ho chiesto: ma da quanto tempo è lento? cosa fa di particolare? M'ha risposto che è dall'estate scorsa che è lento.. ho notato che c'erano diversi programmi (alcuni che lei non utilizzava più) in esecuzione automatica e che in totale superavano la quantità di RAM presente sul pc. Chiusi i programmi inutili il pc è diventato più veloce. Le ho consigliato di comperare della ram aggiuntiva :)

Cmq tornando al Conficker.. mi viene un dubbio.. non è che i suoi ideatori hanno dimenticato di inserire nel codice un attivatore? :) Così il worm continua a propagarsi ma senza essere in grado di far nulla :D

Sbronzo di Riace ha detto...

una strana allergia ai raggi X, forse volevano dire raggi della morte o Raggi B o raggi fotonici

http://www.repubblica.it/2006/08/gallerie/gente/bambino-sole/1.html

DigitalJail ha detto...

@Tukler
Hai ragione questo Confiker è Geniale...
Dove lavoro io ha reso la rete uno skifo per una settimana intera.. e debellarlo è stato davvero complesso proprio perchè utilizza + modalità di contagio!

Anonimo ha detto...

Scusate la domanda magari ingenua: questo virus colpisce anche i Mac?
grazie
Giovanni