Conficker alla riscossa, via P2P

di Alessandra Gualtieri

9 Aprile 2009 16:30

logo PMI+ logo PMI+
Non è scampato il pericolo Conficker: risvegliatosi nella variante WORM_DOWNAD.E può ancora sottrarre dati sensibili e controllare il pc

Trend Micro lancia l’allarme: nessun pesce d’aprile, Conficker è tornato e sta già agendo in silenzio, nella variante WORM_DOWNAD.E.

Il tanto temuto worm – capace di attaccare e infettare milioni di “indifesi pc” – ha dato nuovi segni di vita, questa volta via peer-to-peer. Lo scorso 7 aprile un team di ricercatori del noto provider di soluzioni di sicurezza informatica lo avrebbe rilevato nella cartella dei file temporanei di Windows.

In pratica, Conficker si starebbe aggiornando tramite P2P (comparso su un nodo peer-to-peer coreano, in genere associato a Conficker) tra i computer colpiti, lasciando dietro di sè il temuto payload, che ora è allo studio degli esperti poer valutarne la pericolosità.

Forse un applicativo volto a sottrarre dati sensibili dal pc (“keystroke logger”) o a tentare di collegarsi (falla MS08-067) ai siti MySpace.com, MSN.com, eBay.com, CNN.com e AOL.com agendo come server HTTP (porta 5144) per verificare che il pc infetto sia in grado di connettersi in Rete. Una specie di prova generale per riprodursi e diffondersi.

Da Trend Micro si ipotizza che questa fase di “test” del componente .sys celato dietro un rootkit dovrebbe durare fino al prossimo 3 maggio. Poi, Conficker dovrebbe tornare ancora nell’ombra.

Ricordiamo che questa nuova variante è una minaccia solo per i computer già attaccati e infettati da Conficker, anche se la patch di sicurezza Microsoft MS08-067 dovrebbe proteggere da ulteriori danni.