L’analisi di F-Secure. Il worm sfrutta una vulnerabilità di Windows, risolta con l’applicazione di una patch ormai tre mesi fa.
Secondo F-Secure sarebbero ormai addirittura nove milioni i sistemi infettati dal worm Conficker del quale abbiamo già avuto modo di parlare nelle scorse settimane.
Per rispondere a coloro che mettevano in dubbio i dati resi noti dal vendor di soluzioni per la sicurezza, F-Secure ha pubblicamente rivelato la metodologia utilizzata per il conteggio delle macchine “fatte proprie” dal malware.
La società ha stabilito come il worm utilizzi 250 nuovi domini ogni giorno per effettuare le proprie attività dannose e, non appena Conficker tenta di collegarsi con uno di tali domini, trasmette via HTTP il numero dei sistemi sinora infettati (ad esempio, utilizza l’header HTTP GET /search?q=29 HTTP/1.0). Analizzando i log, estraendo le chiamate con il valore del parametro “q” più elevato e mettendole in corrispondenza con i dati relativi ad indirizzo IP del client ed “user agent”, F-Secure ha potuto stabilire una stima per difetto – pari a circa 9 milioni di unità – delle infezioni da worm Conficker.
Per diffondersi, lo ricordiamo, Conficker sfrutta la mancanza della patch critica MS08-067, rilasciata da Microsoft ormai ben tre mesi fa. Non solo. Il malware è capace di infettare nuovi sistemi sfruttando le condivisioni di rete Windows: l’attacco viene sferrato tentando di sfruttare account dotati di diritti amministrativi non adeguatamente protetti mediante l’uso di password oppure difesi attraverso l’utilizzo di password “deboli” e quindi facilmente “indovinabili”.
Conficker può diffondersi anche tramite chiavette ed unità di memorizzazione USB: il malware crea infatti un file autorun.inf che richiama a sua volta una libreria dannosa (vedere, a tal proposito, l’analisi di SANS ISC).
