Conficker, un worm attivo durante le feste

Conficker, un worm attivo durante le feste

Fra festeggiamenti e chiusure aziendali, in alcune reti ha fatto la sua comparsa il worm Conficker, come riportato da PC al Sicuro. Vediamo cosa è successo

di pubblicata il , alle 17:14 nel canale Sicurezza
 

Uno sgradito ritorno dalle vacanze quello di molti amministratori di rete che durante questi giorni hanno ritrovato la propria rete aziendale infetta da un nuovo worm che è riuscito ad evitare i controlli di gran parte dei software di sicurezza.  Conficker è il nome del worm che, arrivato sotto forma di variante B, ha causato notevoli disagi rallentando le operazioni di login agli account di rete e bloccando totalmente l'accesso ai siti web delle compagnie di sicurezza informatica.

Il worm utilizza diversi metodi per la diffusione attraverso le reti aziendali. La prima modalità di diffusione sfrutta un exploit per la falla descritta da Microsoft nel bollettino MS08-067 (KB958644). La falla, già corretta dalla società di Redmond, ha richiesto - per gravità - il rilascio di una patch straordinaria, esterna al ciclo ordinario di rilascio aggiornamenti.

La seconda modalità di diffusione utilizza un attacco dizionario. Il worm tenta di effettuare il login alle risorse condivise attraverso un piccolo dizionario di password comuni. Questa fase dell'attacco è quella che ha messo in allarme gran parte degli amministratori di rete, i quali hanno riscontrato un flusso anomalo di tentativi di login, portando ad un blocco degli account.

La terza modalità è la diffusione attraverso dischi esterni e di rete. Il worm si replica all'interno di dischi di rete condivisi e pen drive USB inserendo un file di autorun che eseguirà l'infezione non appena si accederà al drive stesso.

"Il periodo delle vacanze natalizie è un periodo da sempre caldo, poiché i livelli di sicurezza sono abbassati. Molte volte gli amministratori di rete non tengono sotto controllo la situazione dal punto di vista sicurezza, spesso lasciando i computer non aggiornati, e le società di sicurezza rispondono molto più lentamente ad eventuali attacchi" ha dichiarato Marco Giuliani, Malware Analyst per la società di sicurezza inglese Prevx. "Questo attacco ha messo in evidenza ancora una volta come l'architettura dei software di sicurezza così com'è attualmente progettata, vecchia di decenni, è inefficace contro le nuove e massicce ondate di malware che richiedono tempi di reazione nell'ordine di minuti".

Per la rimozione dell'infezione all'interno delle aziende è consigliabile isolare eventuali server condivisi, disabilitare le funzionalità di autorun nei singoli PC, aggiornare tutti i PC attraverso il servizio di Windows Update e effettuare una scansione con i software di sicurezza correttamente installati e aggiornati.

Un'analisi dell'infezione, di cui consigliamo caldamente la lettura, è disponibile in italiano a questo link http://www.pcalsicuro.com/main/2009/01/conficker-si-diffonde-nelle-aziende/.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
SwatMaster05 Gennaio 2009, 18:09 #1
Certo che la gente non c'ha proprio un cazzo da fare, eh. Invece di creare malware, potrebbe impiegare il proprio "ingegno" per qualcosa di un po' più costruttivo.
Mah.
J.C.05 Gennaio 2009, 18:27 #2
Basta utilizzare password "non comuni",no?
WarDuck05 Gennaio 2009, 18:34 #3
Probabilmente una più attenta gestione degli aggiornamenti e della sicurezza locale (firewall in primis) avrebbe reso questo worm inoffensivo...

Altro che antivirus .
gabi.243705 Gennaio 2009, 20:15 #4
Eh non ci sono più i bei virus di una volta...
OutOfBounds05 Gennaio 2009, 20:20 #5
eh si, ma tante aziende trascurano molto la sicurezza...
OutOfBounds05 Gennaio 2009, 20:20 #6
e comunque non escludo che sia chi si occupa di sicurezza a rilanciare gli affari in maniera poco corretta... di questi tempi non si sa mai
Al_Giordino05 Gennaio 2009, 22:08 #7
Originariamente inviato da: OutOfBounds
e comunque non escludo che sia chi si occupa di sicurezza a rilanciare gli affari in maniera poco corretta... di questi tempi non si sa mai


Sento frasi come questa fin dall'epoca dei 386... direi che non si può proprio dire "di questi tempi"
Aeon1906 Gennaio 2009, 00:27 #8
fai il figo?!
maurino7206 Gennaio 2009, 10:57 #9
Ciao, confermo che passava i firewall come non ci fossero e almeno cinque antivirus diversi non lo vedevano. L'ips dormiva bello tranquillo. Confermo che il mio pc con tutte le patch non ha avuto problemi. Con un netstat vedevi decine di connessioni verso i controller di dominio.
kierlo06 Gennaio 2009, 15:01 #10
imho la maggior parte degli hacker sono pagate dalle aziende degli antivirus

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^