Sicurezza: spunta il ‘gemello’ di Conficker. Più flessibile del precedente, minaccia nuova epidemia sui Pc di tutto il mondo

Mondo

Gli esperti in sicurezza informatica di SRI International hanno lanciato l’allarme sulla comparsa in rete di una nuova variante, più forte e flessibile, del worm Conficker.

Comparso per la prima volta a ottobre del 2008, conosciuto anche come Downup, Downadup e Fido, dopo aver infettato i computer della Difesa di Gran Bretagna, Francia e Germania Conficker è riuscito a infettare, secondo F-Secure, 9 milioni di computer in tutto il mondo.

Il worm si diffonde sulle piattaforme Microsoft Windows, rubando le password degli utenti attraverso una falla del servizio di rete.

Grazie al suo metodo di propagazione, in grado di sfruttare reti locali, memorie USB, fotocamere, videocamere e tutti gli strumenti che si collegano a un Pc, secondo gli esperti, Conficker è riuscito a creare in pochi mesi una delle più grandi botnet mai individuate dopo l’infezione globale causata, nel 2003, dal worm SQL Slammer.

Un’epidemia talmente vasta che Microsoft ha deciso di mettere una ‘taglia’ da 250 mila dollari sulla testa del suo creatore.

I codici della nuova variante – Conficker B++ – scoperta alcuni giorni, fa sono stati diffusi da SRI International, che ha spiegato come, agli occhi di un profano, non vi sia alcuna differenza rispetto alla versione precedente (Conficker B).

In realtà, però, la nuova versione utilizza un nuovo metodo di download del software che conferisce al worm una flessibilità d’infezione maggiore, introducendo 39 nuove istruzioni e modificando tre delle 297 già presenti in Conficker B.

Una volta infettato con Conficker, un Pc diventa uno strumento per inviare spam o per lanciare attacchi ‘denial of service’ (DoS), senza contare che chi lo controlla può avere accesso alle informazioni personali in esso contenute (quindi codici del conto corrente, password e quant’altro).

Un gruppo che si era autodefinito ‘Conficker cabal’ ha cercato di controllare gli effetti del virus craccandone l’algoritmo che definisce i cosiddetti punti di rendez-vous, ossia i nomi di dominio (come pwulrrog.org) su cui questi codici vengono depositati.

La comparsa della nuova variante del worm ha però vanificato gli sforzi del gruppo, dal momento che la versione B ++ utilizza altri domini e altri algoritmi, oltre che un nuovo sistema per raggiungere questi punti di rendez-vous.