Il nome del worm Conficker è un gioco di parole tedesco che significa fregare ("ficken" è il verbo tedesco per rapporto sessuale) con la tua configurazione. E i PC infetti diventano effettivamente veri e propri, ehm, fottuti. Allora come si diffonde Conficker, cosa fa e come puoi proteggerti da esso? E se sei abbastanza sfortunato da essere uno degli oltre dieci milioni già infetti, come puoi rimuoverlo? Dedicherò l'articolo di questo mese a rispondere a queste domande, affrontando il problema di sicurezza più preoccupante dai tempi di Blaster, Love Bug e Sobig.
Che cos'è?
Cominciamo dall'inizio decidendo cosa è effettivamente Conficker. Questo particolare worm è conosciuto con una serie di nomi diversi, i più popolari sono Conficker, Downadup Kido e, in modo leggermente meno memorabile, Trojan. Win32.Agent.bccs. Chiamatelo come volete, il worm ha già infettato milioni di computer collegati in rete sfruttando una vecchia vulnerabilità nel file Servizio Windows Server (svchost.exe), che secondo Microsoft rimane senza patch su circa il 30% dei sistemi Windows in linea. Detto in altro modo, quei dieci milioni di computer già infettati sono una goccia nell’oceano se si considera che ci sono almeno 300 milioni di PC a rischio in tutto il mondo. L’opinione attuale è che una banda ben organizzata di criminali informatici dietro Conficker stia aspettando il suo tempo prima di scatenare il vero carico utile, e ci sono molte speculazioni su cosa potrebbe essere. Per prima cosa dobbiamo sapere come Conficker riesce ad accedere al tuo computer.
Come si diffonde?
La risposta semplice è che Conficker sfrutta utenti apatici, arroganti e stupidi. Sai, quelli che non applicano tempestivamente le patch di sicurezza critiche; quelli che pensano di essere al di sopra di essere infettati da qualsiasi cosa.
Conficker. B utilizza essenzialmente un metodo di propagazione su tre fronti sfruttando la vulnerabilità critica del servizio Windows Server, le condivisioni di rete e la funzione Windows AutoPlay. Noterai che sto parlando dell'attuale variante altamente virulenta di Conficker, piuttosto che dell'originale worm di tipo A del novembre 2008. Ciò si propaga solo attraverso la vulnerabilità del servizio server, motivo per cui non è diventato un problema così grande come il suo fratello.
Conficker entra nei sistemi in cui la patch di sicurezza non è ancora stata implementata, copiando se stesso nella cartella del sistema Windows, di Internet Explorer o di Movie Maker come DLL nascosta con un file casuale nome. Cerca computer vulnerabili e fa in modo che scarichino una copia di se stesso tramite HTTP utilizzando una porta casuale compresa tra 1024 e 10000, che apre in modo utile. Per garantire che venga eseguito ogni volta che si avvia Windows, crea anche una voce di registro con un valore di nome casuale, ma un valore di dati di "rundll32.exe
Tuttavia, Conficker tenterà sempre di copiarsi nella condivisione ADMIN$ (cartella Windows) di un computer di destinazione utilizzando le credenziali dell'utente attualmente connesso (presupponendo che siano hanno diritti di amministratore e lo stesso account viene utilizzato su più computer, un'intera rete viene presto compromessa) o cercando password deboli per qualsiasi account utente con scrittura autorizzazioni. Il worm ha un elenco di centinaia di password deboli a cui fare riferimento, comprese quelle senza cervello classici “1234”, “admin”, “admin123”, “qwerty”, “passwd”, “foobar”, “secret” e “letmein” per nominare ma alcuni.
