Periodicamente compare, in una nuova variante, e prosegue nel suo ciclo infettivo, per poi tornare di nuovo latente. Ma dall’esperienza di Conficker anche le imprese possono imparare qualcosa su sicurezza e protezione.
Viene considerata forse la peggiore infezione di questi ultimi anni. Nelle sue diverse varianti, Conficker, identificato per la prima volta nell’autunno del 2008, avrebbe fino a oggi infettato milioni di computer in tutto il mondo, creando, questa è la sua vera caratteristica, probabilmente una delle più grandi botte al momento attiva.
Per capire un po’ di più come agisca Conficker e più in concreto quali sono le istanze relative alla sicurezza e alla protezione di reti e pc che le imprese e gli individui devono tenere in giusta considerazione per meglio proteggersi, abbiamo chiesto il parere di Guillaume Lovet, a capo del gruppo di ricerca Fortinet nell’area Emea.
“Il comportamento di Conficker – racconta Lovet – è apparentemente prevedibile”, per questo motivo in più di una occasione nel corso di questi mesi si è parlato di un “allarme Conficker”, come è accaduto, ad esempio, lo scorso 1° aprile. “Giorni di preallarme, per un risveglio del malware programmato proprio per quella data, e poi una sensazione di scampato pericolo”.
Sensazione del tutto erronea, evidentemente, dal momento che proprio da quella data in poi l’infezione del virus in una nuova variante avrebbe cominciato a propagarsi tra i pc di tutto il momento. Salvo poi rientrare in una fase silente e riapparire dopo qualche tempo ancora.
In realtà, sono proprio le caratteristiche di Conficker a fare di questo malware un vero caso da manuale, dal quale imparare il “cosa si dovrebbe fare” e il “cosa non si dovrebbe fare” per proteggere il proprio computer o la rete della propria azienda.
“In primo luogo, Conficker si propaga attraverso una vulnerabilità evidenziata in Microsoft Windows e sanata circa otto mesi fa con la patch Ms08-067. Il fatto che ancora questo malware circoli, è indice che sono troppe le macchine sulle quali non vengono apportati gli aggiornamenti di sicurezza”.
Il secondo veicolo di propagazione di questo malware è rappresentato dalle memory stick.
“In questo caso sarebbe semplice precauzione disabilitare sempre l’autorun in questo tipo di supporti”.
Altre accortezze riguardano invece gli amministratori di rete, ai quali Lovet raccomanda di cercare di localizzare le macchine infette, tenendo presente che un malware di questo tipo ne modifica sempre il comportamento. Esistono degli strumenti sviluppati appositamente per effettuare scanning delle macchine alla ricerca di Conficker e delle sue varianti. Uno, ad esempio, è stato sviluppato nell’ambito dell’HoneyNet Project ed è disponibile gratuitamente sul sito dell’Università di Bonn.
Un problema, tuttavia, è rappresentato dalla modalità nella quale si cerca di ”ripulire” le macchine infette.
Secondo Lovet, le macchine infette dovrebbero essere messe in quarantena. Soprattutto, sarebbe opportuno rimuovere i dischi e collegarli a una macchina non infetta prima di far girare l’antivirus.
Parimenti, prima di installare una patch di sicurezza, è importante verificare che la macchina non sia già infetta. In questi casi, secondo Lovet, il rischio di infezione è ancor più elevato.
Infine non bisogna dimenticare che ogni pc inserito in una botte tenta periodicamente di entrare in contatto con i centri di comando e controllo per ricevere istruzioni sui successivi comportamenti anomali. Evidenziare dove siano questi centri di comando e controllo è evidentemente complesso, parimenti è fondamentale impedire che le comunicazioni tra il pc e il centro abbiano luogo. Per questo Lovet raccomanda l’utilizzo di soluzioni di web-filtering.
