Conficker
Conficker, conosciuto anche come Downup, Downadup e Kido, è un worm scoperto nel novembre 2008 che si diffonde sulle piattaforme Microsoft Windows.
Propagazione
modificaTale worm per diffondersi sfrutta una falla del servizio di rete Microsoft Windows (non ancora corretta), ma può essere trasmesso anche tramite memorie di massa USB, come pendrive o hard disk esterni infetti, tramite violazione delle credenziali di sistema nel caso in cui la password di amministratore locale sia banale oppure nulla, o tramite condivisioni di rete con permessi di scrittura. Nel caso in cui un utente con elevati privilegi (es. un amministratore di dominio) effettui l'accesso ad una macchina infetta, il worm si può propagare su altre macchine della rete anche non vulnerabili.
Sintomi dell'infezione
modifica- È impossibile fare aggiornamenti di Windows (Windows Update).
- Windows Defender è disattivato.
- La rete è congestionata: è impossibile caricare anche delle semplici pagine web.
- Gli accessi ai siti relativi agli antivirus sono bloccati.
- Utilizzando il software Snort con la semplice regola (in experimental.rules)
alert tcp any any -> any 445 (sid:1000000;msg:"Possibile Conficker.worm";)
alert tcp any any -> any 139 (sid:1000001;msg:"Possibile Conficker.worm";)
si possono individuare tentativi ripetuti di accedere a cartelle condivise in rete; se questi tentativi sono numerosi possono essere un sintomo dell'infezione.
Esempio (sul file alert prodotto da Snort):
- grep ':445' *
produce il risultato:
alert:08/14-11:51:35.942871 10.64.1.13:1117 -> 10.64.1.5:445
alert:08/14-11:51:37.162632 10.64.1.13:1118 -> 10.64.1.6:445
alert:08/14-11:52:08.113339 10.64.1.13:1184 -> 10.64.1.37:445
alert:08/14-11:52:09.331510 10.64.1.13:1185 -> 10.64.1.38:445
alert:08/14-12:42:55.466951 10.64.1.13:1130 -> 10.64.1.5:445
alert:08/14-12:42:56.763753 10.64.1.13:1131 -> 10.64.1.6:445
alert:08/14-12:43:29.806946 10.64.1.13:1194 -> 10.64.1.37:445
alert:08/14-12:43:31.119931 10.64.1.13:1195 -> 10.64.1.38:445
alert:08/14-12:43:49.602320 10.64.1.13:1219 -> 10.64.1.52:445
in questo caso il server 10.64.1.13 tenta di connettersi in rete ad altri server, e questo è un possibile sintomo dell'infezione. (Effettivamente confermata poi utilizzando Tools come Stinger etc.)
Danni
modificaSecondo il New York Times[1] il worm ha infettato 9 milioni di computer al 22 gennaio 2009 mentre The Guardian[2] ha stimato in 3,5 milioni i computer colpiti. Il produttore di software antivirus F-Secure ha affermato che fino al 16 gennaio 2009 Conficker ha colpito almeno 9 milioni di computer.[3][4] Si stima che Conficker sia una delle più grandi botnet create, perché il 30% dei computer con Microsoft Windows non ha ancora installato la patch distribuita nell'ottobre del 2008.[5] Il Ministero della Difesa inglese ha annunciato che alcuni dei suoi sistemi principali sono stati infettati. Il worm si è diffuso su alcune navi e sottomarini da guerra.[6] Gli ospedali della città di Sheffield hanno annunciato l'infezione di oltre 800 computer.[7] Il worm inoltre ha causato gravissimi danni al sistema di comunicazione dell'Aeronautica militare francese.[8] Secondo gli esperti è la peggior infezione da quella del 2003 chiamata SQL Slammer.[1] Microsoft ha messo in palio un premio di 250.000 dollari a chi darà informazioni sul programmatore che ha realizzato il virus.[9]
Prevenzione
modificaMicrosoft non è ancora riuscita a distribuire un aggiornamento di sicurezza[10], anche dopo le ricerche del Dicembre 2014; è consigliabile utilizzare un software antivirus costantemente aggiornato, un firewall che limiti l'accesso alle risorse di rete, o meglio ancora un IDS. In grosse aziende con centinaia o migliaia di computer in rete, fin quando tutti i computer nella rete non sono stati aggiornati con la patch di Microsoft, rimane l'alto rischio che il worm riparta dal singolo computer vulnerabile per poi infettare nuovamente tutta la rete.
Note
modifica- ^ a b (EN) John Markoff, Worm Infects Millions of Computers Worldwide, in New York Times, 22 gennaio 2009. URL consultato il 09-02-2009.
- ^ (EN) Jack Schofield, Downadup worm threatens Windows, in The Guardian, 15 gennaio 2009. URL consultato il 09-02-2009.
- ^ (EN) Preemptive Blocklist and More Downadup Numbers, su f-secure.com, F-Secure. URL consultato il 09-02-2009.
- ^ (EN) Barry Neild, Downadup virus exposes millions of PCs to hijack, in CNN, 16 gennaio 2009. URL consultato il 09-02-2009.
- ^ (EN) John Leyden, Three in 10 Windows PCs still vulnerable to Conficker exploit, in The Register, 19 gennaio 2009. URL consultato il 09-02-2009.
- ^ (EN) Lewis Page, MoD networks still malware-plagued after two weeks, in The Register, 20 gennaio 2009. URL consultato il 09-02-2009.
- ^ (EN) Chris Williams, Conficker seizes city's hospital network, in The Register, 20 gennaio 2009. URL consultato il 09-02-2009.
- ^ (EN) Kim Willsher, French fighter planes grounded by computer virus, in The Daily Telegraph, 7 febbraio 2009. URL consultato il 27-01-2012.
- ^ Microsoft, una super taglia per fermare il virus Conficker, in la Repubblica, 13 febbraio 2009. URL consultato il 12-03-2009.
- ^ Microsoft Security Bulletin MS08-067 - Critical, su microsoft.com. URL consultato il 6 luglio 2010 (archiviato dall'url originale il 9 aprile 2010).
Voci correlate
modificaAltri progetti
modifica- Wikimedia Commons contiene immagini o altri file su Conficker