È partito il conto alla rovescia: il 1 aprile il codice di Conficker formulerà una diversa metodologia di propagazione ed il worm potrebbe, secondo alcuni esperti, accelerare di molto la propria attività infestante. Le ore precedenti al giorno di Conficker sono un’altalena tra allarme e fiducia, tra chi teme il peggio e chi sminuisce il problema. Ma nel frattempo anche il worm sembra avere un suo bug.
La scoperta è di Tillmann Werner e Felix Leder (Honeynet Project, in collaborazione con il Conficker Working Group) ed è tutta relativa ai messaggi di Remote Procedure Call (RPC): i pc infettati, infatti, risponderebbero in modo particolare ad alcune sollecitazioni tanto che, secondo l’esemplificazione offerta da Dan Kaminsky, «se chiedi letteralmente al server se è infettato da Conficker, lui te lo dice». Il trattatodi Leder e Werner è complesso e completo, spiega nei dettagli le scoperte effettuate e mette a disposizione anche un installer utile a scoprire i domini generati dal worm per procedere con l’infezione.
Lo scanner prodotto dalla coppia sarebbe già stato inglobato nelle tecnologie Tenable, McAfee, nMap, nCircle e Qualys: l’update del 1 aprile dovrebbe pertanto fornire maggiori informazioni al fine di bloccare sul nascere l’infezione (identificando le possibili infezioni all’interno di un network). Il pericolo, comunque, potrebbe anche essere meno grave del previsto. Secondo Symantec, infatti, i worm realmente dannosi sono quelli a lenta evoluzione, quelli che tentano di non far parlare di sé per meglio approfittare dei bug esistenti. Il grande exploit è invece sotto gli occhi degli esperti e l’informazione quotidiana tende a minimizzare le conseguenze delle minacce emergenti. Conficker potrebbe, insomma, essere vittima di sé stesso: se ne parla ormai da settimane e la spettacolarizzazione che sta per trasformare il pesce d’Aprile in un evento da vivere sul proprio antivirus non aiuterà certo la causa dell’infezione.
Microsoft ha già posto una taglia da 250 mila dollari sulla testa dell’autore del worm, cifra disponibile per chiunque sappia fornire informazioni utili all’identificazione ed al fermo della mente a capo dell’operazione. Gli utenti attendono ora il giorno della sentenza, preparandosi tra installazioni di patch ed aggiornamenti di antivirus. Nel giro di poche ore si potrà capire quanto Conficker possa davvero far male o quanto invece l’allarme abbia superato la realtà dei fatti.
E mentre l’allarme prende piede, c’è già chi ha pensato bene di approfittarne avanzando una strategia parallela. L’eco del worm è infatti permeato ovunque, incoraggiando così l’affannosa ricerca di una soluzione rapida al problema. Non sono pochi gli utenti i quali hanno quindi formulato una semplice ricerca del tipo “remove conficker”, ottenendo in risposta pagine di SERP costellate di falsi annunci promozionali per altrettanto falsi tool di rimozione. Un improvvido click porterebbe l’utente verso l’installazione di software a pagamento che in molti casi ha manifestato efficacia zero, palesando semplicemente una evidente truffa ai danni dell’utente il quale, al termine dello scan, si sente tranquillo e non può sapere fino a che punto il software scaricato ha davvero analizzato e ripulito il sistema.
AdSense per falsi tool di rimozione malware (by F-Secure)
F-Secure consiglia di non lasciarsi prendere dal panico e di seguire semplicemente le procedure ordinarie per assicurare la piena sicurezza del sistema in uso: c’è una patch da installare (MS08-067) ed il proprio antivirus da aggiornare; tutto il resto è lavoro ridondante, surplus inutile ed attività potenzialmente anche pericolosa.