Conficker

Da Wikipedia, l'enciclopedia libera.
Funzionamento di Conficker

Conficker, conosciuto anche come Downup, Downadup e Kido, è un worm scoperto nel novembre 2008 che si diffonde sulle piattaforme Microsoft Windows.

Propagazione[modifica | modifica wikitesto]

Tale worm per diffondersi sfrutta una falla del servizio di rete Microsoft Windows (corretta dalla patch MS08-67), ma può essere trasmesso anche tramite memorie di massa USB, come pendrive o hard disk esterni infetti, tramite violazione delle credenziali di sistema nel caso in cui la password di amministratore locale sia banale oppure nulla, o tramite condivisioni di rete con permessi di scrittura. Nel caso in cui un utente con elevati privilegi (es. un amministratore di dominio) effettui l'accesso ad una macchina infetta, il worm si può propagare su altre macchine della rete anche non vulnerabili.

Sintomi dell'infezione[modifica | modifica wikitesto]

  • È impossibile fare aggiornamenti di Windows (Windows Update).
  • Windows Defender è disattivato.
  • La rete è congestionata: è impossibile caricare anche delle semplici pagine web.
  • Gli accessi ai siti relativi agli antivirus sono bloccati.
  • Utilizzando il software Snort con la semplice regola (in experimental.rules)

alert tcp any any -> any 445 (sid:1000000;msg:"Possibile Conficker.worm";)

alert tcp any any -> any 139 (sid:1000001;msg:"Possibile Conficker.worm";)

si possono individuare tentativi ripetuti di accedere a cartelle condivise in rete; se questi tentativi sono numerosi possono essere un sintomo dell'infezione.

Esempio (sul file alert prodotto da Snort):

  1. grep ':445' *

produce il risultato:

alert:08/14-11:51:35.942871 10.64.1.13:1117 -> 10.64.1.5:445

alert:08/14-11:51:37.162632 10.64.1.13:1118 -> 10.64.1.6:445

alert:08/14-11:52:08.113339 10.64.1.13:1184 -> 10.64.1.37:445

alert:08/14-11:52:09.331510 10.64.1.13:1185 -> 10.64.1.38:445

alert:08/14-12:42:55.466951 10.64.1.13:1130 -> 10.64.1.5:445

alert:08/14-12:42:56.763753 10.64.1.13:1131 -> 10.64.1.6:445

alert:08/14-12:43:29.806946 10.64.1.13:1194 -> 10.64.1.37:445

alert:08/14-12:43:31.119931 10.64.1.13:1195 -> 10.64.1.38:445

alert:08/14-12:43:49.602320 10.64.1.13:1219 -> 10.64.1.52:445

in questo caso il server 10.64.1.13 tenta di connettersi in rete ad altri server, e questo è un possibile sintomo dell'infezione. (Effettivamente confermata poi utilizzando Tools come Stinger etc.)

Danni[modifica | modifica wikitesto]

Secondo il New York Times[1] il worm ha infettato 9 milioni di computer al 22 gennaio 2009 mentre The Guardian[2] ha stimato in 3,5 milioni i computer colpiti. Il produttore di software antivirus F-Secure ha affermato che fino al 16 gennaio 2009 Conficker ha colpito almeno 9 milioni di computer.[3][4] Si stima che Conficker sia una delle più grandi botnet create, perché il 30% dei computer con Microsoft Windows non ha ancora installato la patch rilasciata nell'ottobre del 2008.[5] Il Ministero della Difesa inglese ha annunciato che alcuni dei suoi sistemi principali sono stati infettati. Il worm si è diffuso su alcune navi e sottomarini da guerra.[6] Gli ospedali della città di Sheffield hanno annunciato l'infezione di oltre 800 computer.[7] Il worm inoltre ha causato gravissimi danni al sistema di comunicazione dell'Aeronautica militare francese.[8] Secondo gli esperti è la peggior infezione da quella del 2003 chiamata SQL Slammer.[1] Microsoft ha messo in palio un premio di 250.000 dollari a chi darà informazioni sul programmatore che ha realizzato il virus.[9]

Prevenzione[modifica | modifica wikitesto]

Microsoft ha rilasciato un aggiornamento di sicurezza[10] già nel mese di diffusione del virus; è consigliabile utilizzare un software antivirus costantemente aggiornato, un firewall che limiti l'accesso alle risorse di rete, o meglio ancora un IDS. In grosse aziende con centinaia o migliaia di computer in rete, fin quando tutti i computer nella rete non sono stati aggiornati con la patch di Microsoft, rimane l'alto rischio che il worm riparta dal singolo computer vulnerabile per poi infettare nuovamente tutta la rete.

Voci correlate[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ a b (EN) John Markoff, Worm Infects Millions of Computers Worldwide in New York Times, 22 gennaio 2009. URL consultato il 09-02-2009.
  2. ^ (EN) Jack Schofield, Downadup worm threatens Windows in The Guardian, 15 gennaio 2009. URL consultato il 09-02-2009.
  3. ^ (EN) Preemptive Blocklist and More Downadup Numbers, F-Secure. URL consultato il 09-02-2009.
  4. ^ (EN) Barry Neild, Downadup virus exposes millions of PCs to hijack in CNN, 16 gennaio 2009. URL consultato il 09-02-2009.
  5. ^ (EN) John Leyden, Three in 10 Windows PCs still vulnerable to Conficker exploit in The Register, 19 gennaio 2009. URL consultato il 09-02-2009.
  6. ^ (EN) Lewis Page, MoD networks still malware-plagued after two weeks in The Register, 20 gennaio 2009. URL consultato il 09-02-2009.
  7. ^ (EN) Chris Williams, Conficker seizes city's hospital network in The Register, 20 gennaio 2009. URL consultato il 09-02-2009.
  8. ^ (EN) Kim Willsher, French fighter planes grounded by computer virus in The Daily Telegraph, 7 febbraio 2009. URL consultato il 27-01-2012.
  9. ^ Microsoft, una super taglia per fermare il virus Conficker in la Repubblica, 13 febbraio 2009. URL consultato il 12-03-2009.
  10. ^ Microsoft Security Bulletin MS08-067 - Critical
Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica