Complice il primo aprile ed i bollettini di sicurezza, Conficker ha conquistato la ribalta mediatica di addetti ai lavori, semplici appassionati di tecnologia ed utenti preoccupati dello stato del proprio computer.
Uno dei worm più di “successo” della storia ha visto un crescendo di popolarità (purtroppo per noi) soprattutto negli ultimi due mesi.
Ripercorriamone gli eventi.
Il 26 marzo Channel 4 News ha riportato che il sistema informatico del parlamento inglese è stato infettato.
Le istituzioni del regno di Sua Maestà la Regina non trovano quindi pace; dopo il caso del Spelthorne Borough Council che abbiamo documentato a metà marzo i malware entrano nel cuore della vita politica anglosassone.
La notizia trapelata da una nota distratta, poi pubblicata su un blog politico ed infine confermata da una fonte anonima e interna alla House of Commons era indirizzata a tutti gli utenti connessi all’infrastruttura interna e recitava: “La rete del Parlamento è stata infettata da un virus conosciuto come Conficker il quale colpisce rallentando il network e bloccando alcuni account.”
Va detto che per la sicurezza c’è un contratto in essere con la società MessageLabs, sussidiaria di Symantec, società tra le prime a denunciare l’ascesa del fenomeno.
E poiché la propagazione sfrutta in particolar modo il meccanismo dei dispositivi plug&play, l’avviso interno consigliava di non utilizzare più pendrive ed altri accessori esterni, al fine di evitare la proliferazione e di contenere la diffusione di dati sensibili evidentemente molto importanti.
Il primo aprile, come accennato in precedenza, era stato previsto l’intensificare dell’azione del worm.
Nessuna apocalisse informatica si è – ancora – verificata ma gli esperti consigliano cautela poiché, Conficker.C, non ha esaurito la sua pericolosità.
Non solo, il pesce d’aprile ha portato di fatto una nuova mutazione del codice originario identificata, con non grande fantasia, come Downadup/Conficker.D, portando il numero delle varianti a ben cinque dall’inizio dell’epidemia e che sfrutta ancora la vulnerabilità critica descritta nel bulletin Microsoft MS08-67.
Finora sembrerebbe la lista di un bollettino di guerra. Tranquilli, ci sono anche le buone notizie.
Circa tre settimane fa Bitdefender ha rilasciato il primo tool di rimozione sviluppato ad hoc; secondo il senior analyst Vlad Valceanu il motivo che rende difficile debellare l’infezione dai computer risiede nella presenza di un meccanismo di autoaggiornamento: utilizzando infatti un algoritmo per la generazione di stringhe basate sulla data corrente il worm genera un numero prefissato di domain name e li controlla regolarmente per vedere se ci sono update.
In questo risulta facile per i virus writer poter assegnare un nuovo payload ed aggiornarlo tramite l’upload di siti web registrati per l’occasione.
L’esempio della software house rumena è stato seguito da altri vendor impegnati nel settore della IT security e tool similari a quello menzionato in precedenza sono stati sviluppati da Microsoft, McAfee e Sophos.
Proprio nel sistema di aggiornamento e più precisamente nel sistema di auto-fixing della vulnerabilità è stato rilevato il punto debole di Conficker.
Vediamo perché.
Il motivo del clamoroso successo di questo worm non è da ricercare solo nel tipo di vulnerabilità sfruttata ma anche nel fatto che, una volta infettato il sistema, è lo stesso Conficker a prevenire l’uso della falla da altri tipi di virus, il che ha reso possibile la creazione della più grande botte del mondo. Come?
Il software provvede ad effettuare una custom fix che, però, non è la stessa sviluppata da Microsoft.
In questo tentativo di patching automatico e di blocco di richieste esterne due ricercatori tedeschi tali Felix Leder e Tillmann Werner hanno riconosciuto l’uso della funzione NetpwPathCanonicalize().
Dopo aver installato infatti un handler preposto al controllo di pathname che non combaciano con la struttura assegnata dagli autori di Conficker, questo provvede a segnalare attraverso un codice di errore (“87” cioè per l’uso di parametri non validi) la presenza di malware estranei ed i risultati vengono poi trasmessi attraverso una chiamata di tipo RPC.
Sarebbe il codice di errore, secondo quanto spiegato nello studio dei due analisti, la chiave per trovare le macchine infette all’interno del network. E non solo verrebbero incluse tutte le varianti finora trovate (poiché il meccanismo sopra descritto è comune) ma anche i computer compromessi non perché connessi alla rete ma dall’uso di dispositivi USB, memorie flash e tutti gli altri sistemi, purtroppo, previsti dai virus writer.
Ad effettuare questa sorta di “appello telematico” (la cui risposta determina se l’indirizzo corrispondente all’host controllato è pulito o infetto), provvederà un’applicazione, un piccolo scanner finora proof-of-concept, sviluppata dal team della comunità Honeynet Project.
Ma come risolviamo il problema dell’ultima variante che tra l’altro dovrebbe colpire proprio nei prossimi giorni?
Cristopher Budd sulle pagine del suo blog Technet annuncia che sono già state riscontrate alcune infezioni causate proprio da Conficker.D e l’uso del nuovo algoritmo per la generazione di domini, anche se, di fatto, attacchi specifici basati su di essa non si sono ancora manifestati.
Microsoft con le altre software house impegnate nella lotta ai virus informatici sta però lavorando alacremente ed a stretto contatto con gli stessi enti governativi, tanto che è stata creata la Conficker Cabal, una alleanza ad hoc per combattere la diffusione del pericoloso worm, mettendo inoltre in palio una ricompensa di ben 250 mila dollari per chi disponesse di informazioni sugli autori del codice sorgente incriminato.
Dodici milioni di computer infetti ed il pericolo che si propaghi su dispositivi mobili sono numeri e dati da non sottovalutare, tuttavia David Emm, consulente senior Kaspersky ricorda che si tratta della prima infezione informatica di nota dopo il caso Slammer del 2003; quindi, nonostante gli allarmismi a volte anche giustificati sullo stato di sicurezza soprattutto di alcune società (come il team Hackersblog ci ha dimostrato negli ultimi mesi), Conficker rappresenta la prima reale minaccia a livello globale da 6 anni a questa parte e considerata l’evoluzione del mercato informatico rispecchia una situazione tutto sommato non così preoccupante, mettendo in risalto piuttosto la convinzione diffusa tra i non addetti ai lavori che malware corrisponda ad un danno al proprio computer.
Vedremo dunque come si evolverà la vicenda, continuando a documentare risvolti particolarmente importanti.
Nel frattempo, per chi volesse approfondire il funzionamento del worm Conficker segnaliamo questa lettura.
[image courtesy of Trend Micro]
