Feedburner RSS Feed
Il virus è conosciuto anche come:
TA08-297A (other)
CVE-2008-4250 (other)
VU827267 (other)
Win32/Conficker.worm.62976 (AhnLab)
Trojan.Downloader.JLIW (BitDefender)
Win32/Conficker.A (CA)
Win32/Conficker.A (ESET)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
W32/Conficker.worm (McAfee)
W32/Conficker.E (Norman)
W32/Confick-A (Sophos)
W32.Downadup (Symantec)
Trojan.Disken.B (VirusBuster)
E' pericoloso per TUTTI gli utenti di Windows XP e Windows Vista non opportunamente aggiornati e con le patch di sicurezza Microsoft (disponibili gratuitamente su Microsoft Update).
Se ti preoccupa l'attivazione del worm Conficker in occasione del 1° Aprile 2009, puoi tranquillizzarti, infatti Microsoft ha pubblicato un nuovo aggiornamento sulla situazione malware che interessa la vulnerabilità critica di Windows corretta con il rilascio del bollettino di sicurezza MS08-067 (in Italiano) vi invito quindi a visitare prontamente il link del bollettino per scaricare la patch.
Ma, cerchiamo di capire meglio di cosa si tratta, a me ha suscitato uan certa curiosità tutto questo allarmismo, non si percepiva un terrore cosi diffuso dai tempi di Sasser (2004) o Love Letter (2000) oppure il difficilissimo Bagle (2004). Il 1° aprile il worm Conficker ha iniziato semplicemente ad adottare ulteriori misure per proteggersi. Dopo questa data, i computer infettati dalla variante “C” del worm potrebbero non essere in grado di ricevere gli aggiornamenti o le patch della sicurezza da Microsoft e da molti altri produttori. I creatori del worm hanno iniziato inoltre a utilizzare un sistema di comunicazioni che è più difficile da interrompere per i ricercatori che si occupano di sicurezza.
Il worm Conficker, talvolta chiamato Downadup o Kido ha fatto in modo di infettare un elevato numero di computer. I dati sono difficili da reperire, ma alcuni ricercatori stimano che da gennaio questa minaccia ha infettato milioni di computer. Gli utenti attuali di prodotti (lasciamo perdere i prodotti free ovviamente) per la sicurezza "dovrebbero" essere già protetti, non dimenticatevi di tenere SEMPRE aggiornate le definizioni dei virus altrimenti è proprio come non averlo un antivirus.
Per chi fosse interessato Symantec ha reso disponibile in PDF un'analisi tecnica dettagliata.
Che cosa fa il worm Conficker?
L'obiettivo del worm Conficker è al momento ignoto. Attualmente il worm ha creato un'infrastruttura (computer chiamati zombie) che i suoi ideatori sono in grado di utilizzare per installare in modalità remota software sui computer infetti. Che cosa farà questo software? Non lo sappiamo. Molto probabilmente il worm verrà utilizzato per creare una botnet che verrà affittata a criminali che desiderano inviare spamming, rubare informazioni personali e indirizzare gli utenti verso truffe on-line e siti di phishing.
Il worm Conficker si diffonde principalmente tra le reti. Se individua un computer vulnerabile, disattiva il servizio di backup automatico, elimina i punti di ripristino precedenti, disattiva numerosi servizi di protezione, blocca l'accesso a un certo numero di siti web sulla sicurezza e apre i sistemi infetti per consentire la ricezione di altri programmi da parte del creatore del malware. Il worm tenta quindi di diffondere sé stesso su altri computer nella stessa rete.
In che modo il worm infetta un computer?
Il worm Downadup tenta di sfruttare un problema con Windows (una vulnerabilità) denominato MS08-067 per installare sé stesso in modo invisibile. Gli utenti che ricevono automaticamente gli aggiornamenti da Microsoft sono già protetti da questa minaccia. Il worm tenta anche di diffondersi copiando sé stesso nelle cartelle condivise della rete e infettando dispositivi USB quali le chiavette di memoria o hard disk esterni.
Chi è a rischio?
Sono più a rischio gli utenti con computer non configurati per ricevere patch e aggiornamenti da Microsoft disponibili su Windows Update e che non utilizzano un prodotto antivirus aggiornato. Gli utenti che non utilizzano una versione originale di Windows fornita da Microsoft sono più a rischio in quanto il sistema contraffatto non è generalmente in grado di ottenere gli aggiornamenti e le patch di Microsoft. (problema che potrebbe capitare solamente qualche vecchio Windows XP pirata però...ve lo dico per dovere di cronaca.
Come procedere in caso di sospetta infezione?
Utilizzare il proprio prodotto antivirus per individuare quale variante del worm è presente nel computer.
Seguire le istruzioni dettagliate per la rimozione relative alla specifica versione del worm indicate di seguito:
Rimozione W32.Downadup.A
Rimozione W32.Downadup.B
Rimozione W32.Downadup.C
Consigli per proteggersi dal worm Downadup / Conficker
1- Utilizzare una buona suite per la sicurezza, o singolo antivirus, evitando quelli free perchè a questo mondo niente (o quasi niente) di qualità può essere offerto gratuitamente per logiche di mercato, il mio è un consiglio in ordine alfabetico, evidenzio i migliori in base ai test Virus Bulletin VB100 superati.
avast! Professional Edition 4.8
AVG Anti-Virus 8.0
AVIRA AntiVir Premium 8.2
BitDefender Antivirus 2009
Command Anti-Malware 5.0.8
eScan Anti-Virus 10
ESET NOD32 Anti-Virus 3.0
F-Secure Anti-Virus 2009
G DATA AntiVirus 2009
Kaspersky Anti-Virus 2009
Kingsoft Antivirus 2009
McAfee VirusScan Plus 2009
Microsoft Live OneCare 2.5
Norman Antivirus Anti-Spyware 7.10
Sophos Anti-Virus 7.6.4
Symantec Norton Anti-Virus 2009
TrustPort Antivirus 2.8
2- Mantenere il computer aggiornato con le patch più recenti visitando una volta a mese Windows Update
3- Non utilizzare scansioni della sicurezza “gratuite” che vengono visualizzate in finestre pop-up da molti siti web. Molto spesso queste offerte sono fasulle e utilizzano tattiche intimidatorie per tentare di indurre l'utente ad acquistare il loro servizio “completo”. In molti casi la loro esecuzione determina l'infezione del computer. Vi è ragione di credere che i creatori del worm Conficker sono associati ad alcuni di questi prodotti per la sicurezza fasulli.
4- Disattivare la funzionalità “autorun” o "esecuzione automatica" che consente di eseguire automaticamente i programmi presenti in stick di memoria e altri dispositivi USB.
5- Fare attenzione con le password, questo comprende
- Cambiare periodicamente le password
- Utilizzare password complesse, non semplici nomi o parole, utilizzare caratteri speciali e numeri
- Utilizzare una password più lunga e distinta per ciascun sito che comprende informazioni personali riservate o l'accesso a conti correnti bancari o carte di credito.
Microsoft ha spiegato che Conficker.A si sta diffondendo soprattutto nelle aziende, e in particolare in quelle con sede negli Stati Uniti: la segnalazione di infezioni sarebbero tuttavia giunte anche da Germania, Spagna, Italia ed alcuni paesi dell'Asia e dell'America Latina. Pare che il worm eviti di infettare i computer ucraini, forse un indizio della nazionalità dell'autore.
In questo post del Security Blog di Feliciano Intini, chief security advisor di Microsoft Italia, sono riportati una serie di link che permettono di approfondire la conoscenza del nuovo worm e dei relativi rischi per la sicurezza.
Sono molteplici infatti i siti registrati dai Cyber-criminali in questi ultime settimane, allo scopo di fungere da specchietto per le allodole ed in realtà infettare l'ignaro utente, con improbabili tool di rimozione, o semplicemente accedendo alla home degli stessi.
A detta del "Conficker Working Group", che mantiene una lista costantemente aggiornata sui siti malevoli, moltissimi dei neonati domini che promettono la soluzione a conficker, sono in realtà veicolo di Malware già all'apertura della pagina.
Infine, per facilitare invece la rimozione di Conficker rapidamente vi segnalo alcuni tool gratutiti online:
Symantec W32.Downadup Removal Tool
McAfee Conficker Detection Tool
ESET Nod32 Conficker Remover
Sophos Conficker Removal Tool
Spero di avervi messo in guardia, ma fate sempre ATTENZIONE quando navigate nel web!
(Fonti & Spunti: Microsoft; Symantec; Punto-Informatico.it; VirusBullettin; WinTricks; Wikipedia; Google)
