Conficker

Niente fonti!
Questa voce o sezione sull'argomento software non cita le fonti necessarie o quelle presenti sono insufficienti.
Puoi migliorare questa voce aggiungendo citazioni da fonti attendibili secondo le linee guida sull'uso delle fonti. Segui i suggerimenti del progetto di riferimento.
Funzionamento di Conficker

Conficker, conosciuto anche come Downup, Downadup e Kido, è un worm scoperto nel novembre 2008 che si diffonde sulle piattaforme Microsoft Windows.

Propagazione

Tale worm per diffondersi sfrutta una falla del servizio di rete Microsoft Windows (non ancora corretta), ma può essere trasmesso anche tramite memorie di massa USB, come pendrive o hard disk esterni infetti, tramite violazione delle credenziali di sistema nel caso in cui la password di amministratore locale sia banale oppure nulla, o tramite condivisioni di rete con permessi di scrittura. Nel caso in cui un utente con elevati privilegi (es. un amministratore di dominio) effettui l'accesso ad una macchina infetta, il worm si può propagare su altre macchine della rete anche non vulnerabili.

Sintomi dell'infezione

  • È impossibile fare aggiornamenti di Windows (Windows Update).
  • Windows Defender è disattivato.
  • La rete è congestionata: è impossibile caricare anche delle semplici pagine web.
  • Gli accessi ai siti relativi agli antivirus sono bloccati.
  • Utilizzando il software Snort con la semplice regola (in experimental.rules)

alert tcp any any -> any 445 (sid:1000000;msg:"Possibile Conficker.worm";)

alert tcp any any -> any 139 (sid:1000001;msg:"Possibile Conficker.worm";)

si possono individuare tentativi ripetuti di accedere a cartelle condivise in rete; se questi tentativi sono numerosi possono essere un sintomo dell'infezione.

Esempio (sul file alert prodotto da Snort):

  1. grep ':445' *

produce il risultato:

alert:08/14-11:51:35.942871 10.64.1.13:1117 -> 10.64.1.5:445

alert:08/14-11:51:37.162632 10.64.1.13:1118 -> 10.64.1.6:445

alert:08/14-11:52:08.113339 10.64.1.13:1184 -> 10.64.1.37:445

alert:08/14-11:52:09.331510 10.64.1.13:1185 -> 10.64.1.38:445

alert:08/14-12:42:55.466951 10.64.1.13:1130 -> 10.64.1.5:445

alert:08/14-12:42:56.763753 10.64.1.13:1131 -> 10.64.1.6:445

alert:08/14-12:43:29.806946 10.64.1.13:1194 -> 10.64.1.37:445

alert:08/14-12:43:31.119931 10.64.1.13:1195 -> 10.64.1.38:445

alert:08/14-12:43:49.602320 10.64.1.13:1219 -> 10.64.1.52:445

in questo caso il server 10.64.1.13 tenta di connettersi in rete ad altri server, e questo è un possibile sintomo dell'infezione. (Effettivamente confermata poi utilizzando Tools come Stinger etc.)

Danni

Secondo il New York Times[1] il worm ha infettato 9 milioni di computer al 22 gennaio 2009 mentre The Guardian[2] ha stimato in 3,5 milioni i computer colpiti. Il produttore di software antivirus F-Secure ha affermato che fino al 16 gennaio 2009 Conficker ha colpito almeno 9 milioni di computer.[3][4] Si stima che Conficker sia una delle più grandi botnet create, perché il 30% dei computer con Microsoft Windows non ha ancora installato la patch distribuita nell'ottobre del 2008.[5] Il Ministero della Difesa inglese ha annunciato che alcuni dei suoi sistemi principali sono stati infettati. Il worm si è diffuso su alcune navi e sottomarini da guerra.[6] Gli ospedali della città di Sheffield hanno annunciato l'infezione di oltre 800 computer.[7] Il worm inoltre ha causato gravissimi danni al sistema di comunicazione dell'Aeronautica militare francese.[8] Secondo gli esperti è la peggior infezione da quella del 2003 chiamata SQL Slammer.[1] Microsoft ha messo in palio un premio di 250.000 dollari a chi darà informazioni sul programmatore che ha realizzato il virus.[9]

Prevenzione

Microsoft non è ancora riuscita a distribuire un aggiornamento di sicurezza[10], anche dopo le ricerche del Dicembre 2014; è consigliabile utilizzare un software antivirus costantemente aggiornato, un firewall che limiti l'accesso alle risorse di rete, o meglio ancora un IDS. In grosse aziende con centinaia o migliaia di computer in rete, fin quando tutti i computer nella rete non sono stati aggiornati con la patch di Microsoft, rimane l'alto rischio che il worm riparta dal singolo computer vulnerabile per poi infettare nuovamente tutta la rete.

Note

  1. ^ a b (EN) John Markoff, Worm Infects Millions of Computers Worldwide, in New York Times, 22 gennaio 2009. URL consultato il 09-02-2009.
  2. ^ (EN) Jack Schofield, Downadup worm threatens Windows, in The Guardian, 15 gennaio 2009. URL consultato il 09-02-2009.
  3. ^ (EN) Preemptive Blocklist and More Downadup Numbers, su f-secure.com, F-Secure. URL consultato il 09-02-2009.
  4. ^ (EN) Barry Neild, Downadup virus exposes millions of PCs to hijack, in CNN, 16 gennaio 2009. URL consultato il 09-02-2009.
  5. ^ (EN) John Leyden, Three in 10 Windows PCs still vulnerable to Conficker exploit, in The Register, 19 gennaio 2009. URL consultato il 09-02-2009.
  6. ^ (EN) Lewis Page, MoD networks still malware-plagued after two weeks, in The Register, 20 gennaio 2009. URL consultato il 09-02-2009.
  7. ^ (EN) Chris Williams, Conficker seizes city's hospital network, in The Register, 20 gennaio 2009. URL consultato il 09-02-2009.
  8. ^ (EN) Kim Willsher, French fighter planes grounded by computer virus, in The Daily Telegraph, 7 febbraio 2009. URL consultato il 27-01-2012.
  9. ^ Microsoft, una super taglia per fermare il virus Conficker, in la Repubblica, 13 febbraio 2009. URL consultato il 12-03-2009.
  10. ^ Microsoft Security Bulletin MS08-067 - Critical, su microsoft.com. URL consultato il 6 luglio 2010 (archiviato dall'url originale il 9 aprile 2010).

Voci correlate

Altri progetti

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica