Conficker, un worm attivo durante le feste

Uno sgradito ritorno dalle vacanze quello di molti amministratori di rete che durante questi giorni hanno ritrovato la propria rete aziendale infetta da un nuovo worm che è riuscito ad evitare i controlli di gran parte dei software di sicurezza.  Conficker è il nome del worm che, arrivato sotto forma di variante B, ha causato notevoli disagi rallentando le operazioni di login agli account di rete e bloccando totalmente l'accesso ai siti web delle compagnie di sicurezza informatica.

Il worm utilizza diversi metodi per la diffusione attraverso le reti aziendali. La prima modalità di diffusione sfrutta un exploit per la falla descritta da Microsoft nel bollettino MS08-067 (KB958644). La falla, già corretta dalla società di Redmond, ha richiesto - per gravità - il rilascio di una patch straordinaria, esterna al ciclo ordinario di rilascio aggiornamenti.

La seconda modalità di diffusione utilizza un attacco dizionario. Il worm tenta di effettuare il login alle risorse condivise attraverso un piccolo dizionario di password comuni. Questa fase dell'attacco è quella che ha messo in allarme gran parte degli amministratori di rete, i quali hanno riscontrato un flusso anomalo di tentativi di login, portando ad un blocco degli account.

La terza modalità è la diffusione attraverso dischi esterni e di rete. Il worm si replica all'interno di dischi di rete condivisi e pen drive USB inserendo un file di autorun che eseguirà l'infezione non appena si accederà al drive stesso.

"Il periodo delle vacanze natalizie è un periodo da sempre caldo, poiché i livelli di sicurezza sono abbassati. Molte volte gli amministratori di rete non tengono sotto controllo la situazione dal punto di vista sicurezza, spesso lasciando i computer non aggiornati, e le società di sicurezza rispondono molto più lentamente ad eventuali attacchi" ha dichiarato Marco Giuliani, Malware Analyst per la società di sicurezza inglese Prevx. "Questo attacco ha messo in evidenza ancora una volta come l'architettura dei software di sicurezza così com'è attualmente progettata, vecchia di decenni, è inefficace contro le nuove e massicce ondate di malware che richiedono tempi di reazione nell'ordine di minuti".

Per la rimozione dell'infezione all'interno delle aziende è consigliabile isolare eventuali server condivisi, disabilitare le funzionalità di autorun nei singoli PC, aggiornare tutti i PC attraverso il servizio di Windows Update e effettuare una scansione con i software di sicurezza correttamente installati e aggiornati.

Un'analisi dell'infezione, di cui consigliamo caldamente la lettura, è disponibile in italiano a questo link http://www.pcalsicuro.com/main/2009/01/conficker-si-diffonde-nelle-aziende/.