Il sito di supporto tecnico "enterprise" di Microsoft riporta la notizia del diffondersi di una nuova variante "B" del worm chiamato Downadup o Conficker, in grado di replicarsi molto rapidamente sulle reti aziendali. Questo worm secondo un esperto di F-Secure citato da CNN.com, avrebbe già infettato oltre 9 milioni di macchine, con un ritmo di propagazione pericolosamente rapido. A rischio sarebbero solo quei sistemi sprovvisti della patch MS08-067 rilasciata da Microsoft lo scorso 23 di ottobre, visto che la nuova variante sfrutta la stessa vulnerabilità. Torna dunque d'attualità il problema delle policy di sicurezza all'interno delle reti aziendali.

Downadup, anche detto Conficker sfrutta una vulnerabilità dei sistemi operativi Windows, che in determinate condizioni permette l'esecuzione di codice remoto, esponendo dunque la macchina agli attacchi di utenti malintenzionati. I danni della prima variante di questo worm erano stati "mitigati" dal rilascio tempestivo - da parte di Microsoft - di una patch siglata MS08-067.

A quanto pare non tutti hanno fatto l'aggiornamento. Almeno a giudicare dai dati di diffusione della nuova variante "B" di Conficker, riportati da CNN.com. Conficker "B" fa infatti leva sulla stessa vulnerabilità usata da predecessore, anche se il livello di rischio in caso di infezione ora è più alto. Secondo Mikko Hypponen, chief research officer presso F-Secure il nuovo worm proviene dall'Ucraina e dispone di una funzionalità "phone home", ossia dopo essersi insediato su un sistema è in grado di connettersi ad un server da cui riceve istruzioni su come agire.

Hypponen riferisce di infezioni su larga scala registrate sia in Europa, che negli Stati Uniti e in Asia. In quasi tutti i casi si trattava di grosse reti aziendali. I PC domestici coinvolti sarebbero invece pochi.

Conficker secondo Hypponen non si diffonderebbe via mail o web, perché i firewall sono sufficienti a bloccarlo. La propagazione dunque avviene solo se una macchina già infetta viene collegata ad una LAN. A quel punto il worm inizia immediatamente una scansione della rete locale, per cercare nuove macchine da infettare. Ad essere vulnerabili - come già riportato - sono unicamente i sistemi privi della patch MS08-067.

Al momento il virus non risulta essersi appropriato di informazioni personali o dati di carte di credito, anche se è comunque in grado di compromettere la sicurezza su questo fronte, grazie alla già citata funzione "phone home".

Altra caratteristica di questa variante "B" è  la capacità di crackare le password di rete, usando un algoritmo di tipo "brute force", come spiega Feliciano Intini, Chief Security Advisor di Microsoft Italia dal suo blog. Questo aspetto crea un doppio problema. Da una parte la congestione di rete conseguente al tentativo di indovinare le password usando un "dictionary attack", dall'altra un vero e proprio DoS (Denial of Service) se gli utenti cui è indirizzato l'attacco usano l'account lockout, ossia il blocco dell'account dopo un certo numero di tentativi di inserimento password falliti.

I sintomi (nonché le conseguenze) dell'infezione sono il blocco degli account utente e amministratore. Servizi fondamentali arrestati o disabilitati. Impossibilità di accedere a Windows Update o agli aggiornamenti degli antivirus. Errori legati al processo SVCHOST. Come indicatore c'è la presenza di un task schedulato nella cartella %windir%\Tasks, il cui nome è casuale ma può essere assimilato ad uno dei seguenti esempi:

Per proteggersi il modo migliore ancora una volta è assicurarsi che la patch MS08-067 sia installata su tutti i PC della Rete. Per combattere l'infezione invece è sufficiente utilizzare un antivirus aggiornato con le ultime definizioni. Maggiori dettagli sulle modalità di identificazione e rimozione di Cornficker-Downadup "B" si possono trovare alla pagina di supporto tecnico enterprise di Microsoft Italia.

Fonti: CNN.com, Supporto tecnico enterprise Microsoft, blog di Feliciano Intini

TrackBack URI for this entry

Commenti (0)

Mostra/Nascondi form commento

Nome

Email

Titolo

Commento

smaller | bigger

I have read and agree to the Terms of Usage.

Scrivi i caratteri mostrati

Aggiungi Commento