Personalmente, penso che Conficker sia il più bell’esempio di programmazione non invasiva che io abbia mai visto. 

Roma – Con qualche giorno di ritardo, e senza particolare clamore, Conficker è entrato in funzione. Come previsto, ha abbandonato il download dei suoi “aggiornamenti” attraverso il protocollo HTTP e si è orientato sulla più impalpabile e insidiosa rete P2P costruita a partire dalla terza versione del worm. Ha iniziato a scaricare piccoli pezzetti di codice, altamente cifrati, sulle macchine infette stando bene attento a cancellare le tracce del suo passaggio: è ancora presto per dire quali danni sia in grado di compiere, ma pare proprio che, archiviata la fase di attesa, ora il più celebre malware dai tempi di Storm sia pronto a darsi da fare.

Secondo quanto ricostruito nei laboratori Trend Micro, durante la notte tra il 7 e l’8 aprile è avvenuto un contatto tra una macchina infetta da loro tenuta in osservazione e un nodo del circuito P2P messo in piedi dai creatori di Conficker: un pacchetto di poco più di 100KB è stato depositato nella cartella dei file temporanei di Windows, con all’interno quello che parrebbe alle prime analisi una sorta di keylogger. Secondo quanto riferito, la profonda e complessa cifratura del codice impedirebbe al momento una identificazione certa delle azioni che il nuovo aggiornamento è in grado di compiere, ma le probabilità che il worm sia passato in una fase “attiva” sono piuttosto consistenti.

Una volta completata l’installazione della patch, Conficker provvede a rimuovere ogni traccia dal sistema tentando di occultare ogni prova del suo passaggio: nessuna voce nel registro o nei log a testimonianza delle sue attività, nonostante prosegua nella sua opera di infezione distribuita via web (nel caso in cui le patch al sistema operativo non siano state applicate) dopo aver pure controllato che la macchina su cui risiede sia connessa ad Internet. Infine, un collegamento sembrerebbe esistere tra Conficker el’altro worm del momento, Waledac.
Quest’ultimo, già noto per le sue attività di spamming, potrebbe in linea di massima essere sotto il controllo degli stessi autori di Conficker. Oppure, circostanza improbabile ma non troppo, due differenti gruppi creatori di malware potrebbero essersi consorziati per portare avanti le proprie attività fuorilegge. Anche tra i criminali, evidentemente, l’unione fa la forza.

Il nuovo pacchetto di Conficker (gli esperti non sono ancora certi se definirla o meno una nuova versione, in questo caso la D, del worm) è programmato per spegnersi il prossimo 3 maggio. Allora si conoscerà la prossima mossa dei cattivoni, anche se è auspicabile che in queste tre settimane le difese e le protezioni messe in campo da utenti, produttori di antivirus e aziende aumentino e si consolidino. Secondo le stime a risultare infetti oggi sarebbero non meno di 3 milioni di sistemi, anche se i più pessimisti si spingono addirittura a valutare in 12 milioni il numero di computer ancora sotto il controllo di Conficker.

Da PuntoInformatico.

E’ la prima volta che sento parlare di un worm che riesce addirittura ad aggiornarsi da solo (via HTTP), creando persino una rete P2P attraverso cui propagarsi. Il tutto ovviamente riducendo ad incredibilmente poco le possibilità di essere avvistato!

Leggiamo più nel dettaglio il funzionamento di questo devastante quanto affascinante virus:

Trend Micro segnala che il worm Conficker.C (o Downad) ha effettivamente iniziato a scaricare gli aggiornamenti (tanto annunciati).
In ogni caso non da quei siti web che erano sotto controllo ma bensi’ attraverso la sua funzionalità P2P.
Gli esperti hanno rilevato questo comportamento osservando il traffico di rete su un sistema infetto e le modifiche alla cartella Temp di Windows.
A differenza delle altre due varianti, Conficker.C è in grado di stabilire una rete peer-to-peer con gli altri sistemi infetti e puo’ utilizzarla per scaricare ulteriori programmi e/o ricevere comandi remoti.
Stando a quanto rilevato da Trend Micro pare che questa “operazione P2P” sia in piena esplosione.

Nel caso del sistema sotto osservazione è stato rilevato il download e successiva installazione di un aggiornamento criptato da un nodo P2P in Corea.
Il worm è mutato nella variante .E, che mostra nuove caratteristiche.
In particolare tenta di cancellare le proprie tracce, eliminando voci di registro esistenti e utilizzando da quel momento in poi nomi di file e servizi in maniera random.
Il worm si mette in ascolto sulla porta TCP 5114, in attesa di richieste in grado di essere processate dal mini-server HTTP interno.
Si connette a myspace.com, msn.com, ebay.com, aol.com cnn.com al fine di verificare se c’è una connessione Internet attiva.

A quanto pare il worm sta continuando a diffondersi unicamente attraverso la vulnerabilità di Windows.
BitDefender ha fatto sapere che la nuova variante blocca l’accesso non solo al sito web di BitDefender, ma anche a quelli di numerosi security vendors che offrono tools per la rimozione di Conficker in tutte le sue varianti.

Le analisi hanno evidenziato come l’ultima versione di Downad/Conficker dovrebbe disabilitarsi il 3 maggio 2009. Non appare ancora chiaro se siano previsti ulteriori aggiornamenti prima di allora.
Alcuni esperti hanno evidenziato sporadici collegamenti a domini legati alla botnet Waledac.
Anche Symantec ha riscontrato un comportamento analogo.
Un file scaricato da Conficker (484528750.exe) si pensa contenga il bot Waledac.
Tuttavia a parte questo, finora, ne’ Trend Micro, ne’ Symantec si sono sbilanciati circa questa “interconnessione” tra Conficker e Waledac.

Sul sito di Heise Security e’ disponibile una pagina con le principali informazioni su Conficker e collegamenti a test per verificare un’eventuale infezione della propria macchina.
Vengono elencati anche i principali e piu’ importanti tools e scanners per la rimozione.

Da TechTown.

 

Secondo il New York Times^[1] il worm ha infettato 9 milioni di computer al 22 gennaio 2009 mentre The Guardian^[2] ha stimato in 3,5 milioni i computer colpiti. Il produttore di software antivirus F-Secure ha affermato che fino al 16 gennaio 2009 Conficker ha colpito almeno 9 milioni di computer.^[3][4] Si stima che Conficker sia una delle più grandi botnet create, perché il 30% dei computer con Microsoft Windows non ha ancora installato la patch rilasciata nell’ottobre del 2008.^[5] Il Ministero della Difesa inglese ha annunciato che alcuni dei suoi sistemi principali sono stati infettati. Il worm si è diffuso su alcune navi e sottomarini da guerra.^[6] Gli ospedali della città di Sheffield hanno annunciato l’infezione di oltre 800 computer.^[7] Il worm inoltre ha causato gravissimi danni al sistema di comunicazione dell’Aeronautica Militare Francese.^[8] Secondo gli esperti è la peggior infezione da quella del 2003 chiamata SQL Slammer.^[1] Microsoft ha messo in palio un premio di 250.000 dollari a chi darà informazioni sul programmatore che ha realizzato il virus.^[9]

Da Wikipedia.

Sono rimasto tremendamente affascinato.

Nel caso voleste approfondire, Google è vostro amico. In ogni caso, io ho trovato una parte del codice sorgente di Conficker che è stato rilevato dalla SRI International, inoltre pare che la Microsoft abbia offerto 250 000 dollari per chi fornirà informazioni utili all’arresto degli autori di Conficker.