Il virus Conficker crea nuovi problemi per gli esperti di sicurezza: i dispositivi rimovibili infettati con il virus ingannano l’utente e gli fanno installare il worm.
La funzione di auto esecuzione automatica di Vista e anche della nuova versione Windows 7 cercano automaticamente i programmi sui dischi rimovibili.
Il virus tuttavia, sfruttando un file AUTORUN.INF alterato con il morphing per non renderlo riconoscibile facilmente, intercetta questo processo e si maschera come una cartella da aprire, usando tecniche di social engineering, (vedi l’immagine qui sopra): una volta cliccata l’opzione, il worm si installa.
Dall’immagine qui sopra si nota che vi sono due voci che entrambe dicono “Open folder to view files.”
Quella più in alto in realtà è fittizia: naturalmente è quella preselezionata nella finestra che appare quando inserite un dispositivo rimovibile; trovate più dettagli in questo articolo di F-Secure.
Un interessante articolo su Conficker e su come eliminarlo si trova qui, su bleepingcomputer.com.
Uno strumento per rimuovere Conficker è BitDefender’s Anti-Downadup tool (dovete però scaricarlo da un pc non infetto o il worm vi impedirà di contattare il sito).
Conficker cerca di contattare un alto numero di server Web da cui può scaricare altri programmi che possono prendere il controllo del computer infettato.
Questo virus è inusitatamente intelligente per il modo in cui determina quale server contattare: un algoritmo complicato che cambia giorno per giorno ed è basato su date e ore prese da siti pubblici come google.com
Questo metodo rende praticamente impossibile o quanto meno poco pratico chiudere tutti i siti il cui nome viene generato, la maggior parte dei quali non sono neppure registrati ma puramente fittizi.
Gli hacker devono solo predeterminare un possibile dominio per la data del giorno successivo, registrarlo e predisporvi un sito Web, per poter quindi assicurarsi l’accesso a tutte le macchine infettate.
il virus disabilita anche gli aggiornamenti automatici di Windows che potrebbero prevenire ulteriori infezioni.
Downandup, Downadup, Kido!, o Conficker ha raggiunto un numero stimato di computer che si aggira intorno ai 9 milioni, ma si stima che potrà raggiungere in breve una ventina di milioni di PC.
Gli utenti possono scaricare l’aggiornamento di sicurezza KB958644 dal sito Microsoft per ridurre il rischio di infezione (vedi Microsoft Bulletin No MS08-067).
Inoltre l’edizione di Gennaio 2009 del “Malicious Software Removal Tool” Microsoft (MSRT) è in grado di individuare e rimuovere il Virus Downadup.
Sono inoltre disponibili altre informazioni interessanti qui.
Dal punto di vista di un antivirus, l’eliminazione di questo worm è particolarmente problematica per il modo che usa di coinvolgere l’utente nell’installazione del software by-passando le tecniche tradizionali di sicurezza contro l’auto-installazione e per la maniera sofisticata che sfrutta per evitare di essere riconosciuto: utilizza infatti tecniche di morphing molto sofisticate che rendono il riconoscimento tradizionale basato sulle firme quasi impossibile.
Qual’è quindi la migliore strategia per evitare di essere infettati? Disattivare l’auto esecuzione sul vostro computer ((con Windows XP, TweakUI è il modo migliore per farlo). Se vedete quindi un dialog box AutoPlay come quello sopra raffigurato, chiudetelo ed esaminate quindi attentamente il dispositivo manualmente cercando di individuare l’eseguibile che rappresenta la minaccia. In caso di dubbio evitate di usarlo. Naturalmente, mantenere il sistema aggiornato tramite Windows Update è comunque un’ottima idea.
Se siete stati colpiti da questa infezione potete tentare di utilizzare il vostro antivirus e se questo non risolve il problema potete rivolgervi a F-Secure, ed usare il loro strumento di rimozione mirato, oppure a EMSI, che mette a disposizione il suo a-squared Free.
Trovato qui un elenco di domini legati a questo virus.
Fonti: BBC e Yahoo