Conficker prepara lo scherzetto del 1 Aprile

Conficker starebbe preparando l’estremo attacco. Il giorno stabilito è il 1 Aprile, quando il pesce di carta appeso alla schiena è soltanto un gioco per bambini mentre un worm scatenato sul Web è ben più di un sollazzo di 24 ore. Conficker è la minaccia informatica che più di ogni altra sta facendo tremare la Rete ed ora la scoperta della terza variante assume le sembianze di una bomba ad orologeria: gli artificieri della sicurezza stanno già studiandone il codice per capire come e se intervenire per tentare il disinnesco.

Il fatto è che l’antidoto è già stato rilasciato da tempo: Conficker prolifera su di una vulnerabilità già notificata da Microsoft e già risolta, un problema di per sé vecchio. Il problema è che se Microsoft ha rilasciato lo sciroppo curativo, al tempo stesso sembra che gran parte dell’utenza ancora sia riluttante ad installare l’aggiornamento. Lasciando il pc aperto alle incursioni esterne, Conficker ha avuto buon gioco finora ad installarsi su milioni di pc in tutto il mondo, propagandosi a sua volta e cercando ora nella versione Conficker.C una nuova forma espressiva.

La terza ondata di Conficker è stata identificata e descritta dalla Computer Associates, la quale ha pubblicato una scheda completa su quanto scoperto nella quale si indicano le modalità d’azione del worm, le conseguenze apportate sui sistemi infetti e, soprattutto, quella che è la possibile esplosione del 1 Aprile 2009.

All’interno del codice, infatti, è stato scoperta una procedura che dovrebbe determinare nella data indicata una improvvisa attivazione delle cellule dormienti infettate da Conficker. Nell’occasione il worm dovrebbe generare una lunga lista di domini che verranno contattati dai pc infetti (fino a 50000 nuovi indirizzi al giorno) per scaricare nuove componenti maligne oppure per inviare dati a server specifici. L’accesso ad altri siti Web sarebbe inoltre inibito, il che potrebbe determinare l’impossibilità di accesso a software antivirus o servizi informativi a protezione dello stato di infezione conquistato (bloccato, in particolare, ogni processo ricollegato a stringhe di testo quali “ms08-06”, “hotfix”, “kb958”, eccetera): tale istinto difensivo risultava inesistente nelle versioni precedenti di Conficker, il che delinea una certa maturazione internamente ad un codice maligno già di per sé letale.

Occorre ricordare come sulla testa degli autori di Conficker già gravi una spada di Damocle pesante 250 mila dollari: a tanto ammonta, infatti, la taglia che Microsoft e partner hanno messo a disposizione per quanti sappiano fornire informazioni utili a fermare l’autore del worm. In passato tale strategia ha funzionato, permettendo di fermare le menti che si nascondevano dietro Sasser, Netsky e MyDoom. Al momento l’autore di Conficker rimane a piede libero, ma la pressione attorno alle sue attività si fa a questo punto sempre più importante, proporzionalmente al pericolo portato avanti con le sue offensive.

Il prossimo appuntamento con Conficker è per il 1 Aprile, giorno in cui sarà possibile misurare il grado di preparazione della Rete al worm ed il potenziale di fuoco di un codice che Symantec descrive ad oggi ad alto potenziale di danno. Per l’utenza due sole le precauzioni utili e praticabili: installare tutti gli aggiornamenti diramati da Microsoft, quindi installare (o aggiornare) un buon software antivirus. Così facendo, il 1 Aprile non dovrebbe essere nulla più se non un innocente gioco per burloni.