Conficker si aggiorna passando per il P2P

Torna alla carica il worm Conficker dopo alcuni giorni di silenzio cambiando la sua pelle attraverso il peer-to-peer. La nuova variante, battezzata WORM_DOWNAD.E, si potrebbe preparare così ad un secondo grande attacco
Conficker si aggiorna passando per il P2P
Torna alla carica il worm Conficker dopo alcuni giorni di silenzio cambiando la sua pelle attraverso il peer-to-peer. La nuova variante, battezzata WORM_DOWNAD.E, si potrebbe preparare così ad un secondo grande attacco

Il mancato attacco su larga scala da parte di Conficker sembrava aver trasformato il temibile vermone in null’altro che un innocuo (seppur fastidioso) animaletto, nonostante gli esperti nel campo della sicurezza avessero ipotizzato un suo risveglio nei giorni successivi, quando l’interesse verso il famoso worm si fosse ampiamente ridotto. Secondo quanto riportato dai laboratori Trend Micro, il temuto risveglio di Conficker sembrerebbe già arrivato attraverso una variante battezzata WORM_DOWNAD.E, pronta a propagarsi attraverso un noto nodo P2P.

La mutazione sembrerebbe aver preso piede la notte del 7 aprile, momento in cui i ricercatori Trend Micro avrebbero scoperto un nuovo file sospetto all’interno della cartella dei file temporanei di Windows. L’arrivo del nuovo file non appare però associato ad alcun traffico di dati all’interno del canale HTTP, ma sembra correlato ad una risposta criptata passata attraverso un canale TCP e proveniente da un nodo IP P2P notoriamente associato a Conficker e residente in Corea. Seppure ancora sotto analisi, il componente scaricato sembrerebbe appartenere alla famiglia dei keylogger e programmato quindi per sottrarre dati sensibili dai computer delle vittime.

Dall’analisi del file sono emerse alcune interessanti particolarità, ovvero la capacità di assumere nomi differenti, di attivare servizi anch’essi casuali e di eliminare le tracce del componente scaricato, nonché di propagarsi (sfruttando la falla MS08-067) verso IP esterni, se disponibili. Il file inoltre agirebbe come server HTTP attraverso la porta 5144 e si connetterebbe ai seguenti portali (molto probabilmente per verificare la corretta connessione ad Internet): MySpace.com, MSN.com, eBay.com, CNN.com e AOL.com. In ultima analisi, è emerso un tentativo da parte del componente scaricato di connessione ad un domino appartenente alla nota botnet Waledac (goodnewsdigital(dot)com), al fine di scaricare un altro file criptato.

La nuova variante costituisce una minaccia solamente per chi è stato già aggredito da Conficker e sostanzialmente la patch di sicurezza Microsoft MS08-067 dovrebbe garantire un alto margine di sicurezza.

Ti consigliamo anche

Link copiato negli appunti