hit counter
Conficker.D e la presunta apocalisse del 1° di aprile - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Conficker.D e la presunta apocalisse del 1° di aprile

Conficker.D e la presunta apocalisse del 1° di aprile

  • Comments 3
  • Likes

[English version below: "Conficker.D and the alleged Apocalypse of April 1st"]

Rieccoci qua, nuova variante di Conficker in circolazione (Conficker.D) e nuova puntata di approfondimento per aiutarvi a capire un po' meglio le dinamiche di infezione e le reali situazioni di rischio da fronteggiare. Questa volta la necessità di far chiarezza è doverosa: alcuni articoli hanno ripreso la notizia di questa nuova variante e ne hanno colto solo l'elemento utile per un lancio sensazionalistico, cominciando a proclamare il rischio di una sorta di apocalisse per il prossimo 1° di aprile. La sfortunata (ma probabilmente voluta) coincidenza di questo giorno con il classico giorno delle burle, ha agevolato la crescita a dismisura del livello di confusione sui clienti, che, giustamente, si chiedono che cosa ci riservi questa nuova minaccia all'orizzonte. Cerchiamo quindi di fare chiarezza.

Primo punto. Analizziamo i fatti, e questi sono la consapevolezza della presenza in circolazione di questa nuova variante: vi riporto il puntatore alla scheda tecnica del Microsoft Malware Protection Center (MMPC)

Worm:Win32/Conficker.D

Leggendo la scheda di Analysis, in fondo, si legge:

Once a day, Win32/Conficker.D may build one of 50,000 URLs to download files starting on April 1, 2009. The worm uses one of the following top level domains from over 100 different countries, and only visits 500 of the generated URLs within a 24-hour period

Come vedete è qui che appare il riferimento al 1° di aprile. Ma questo comportamento, che ricordo essere la dinamica di aggiornamento del worm che contatta i siti da cui tentare di scaricare nuovo malware, non è nuovo per questa variante D, è presente già dalla versione B!!

Depending on the system date, Win32/Conficker.B may build a URL to download files starting on January 1, 2009

Quello che effettivamente cambia in questa nuova variante è il numero di tentativi di contatto e di download: dal 1° di aprile ci si può ragionevolmente aspettare un aumento di traffico di rete prodotto dai sistemi infetti e il rischio di download di nuovo malware.

Secondo punto. La parte sottolineata della frase precedente mi permette di andare al cuore del problema: prima di preoccuparsi di quello che possono provocare i sistemi infetti, ci si deve focalizzare su cosa si deve fare per prevenire l'infezione, e questa variante non cambia la lista delle attività che sono richieste agli amministratori di sistemi per impedire l'infezione, attività e raccomandazioni riepilogate in questa mia nuova pagina di risorse e considerazioni su Conficker:

Conficker worm: considerations and resources for effective containment

Terzo punto. A voler proprio esser precisi, la variante D in questione è addirittura meno aggressiva poiché non usa tutti i vettori di attacco delle precedenti versioni per propagarsi verso altri sistemi in rete:

Conficker.D infects the local computer, terminates services and blocks access to numerous Web sites. This variant does not spread to removable drives or shared folders across a network.

Detto questo, che spero vi aiuti a valutare questa minaccia da un corretto punto di vista, resta comunque importante far notare la serietà dell'infezione Conficker a livello mondiale: più sistemi si infettano, maggiori saranno gli impatti delle dinamiche di contatto e download che si potrebbero osservare dal 1° aprile in poi, in cui effetti specifici non si possono predire in questo momento, poiché non si può sapere cosa verrà scaricato in quelle situazioni in cui questo processo andrà a buon fine.

D'altra parte, lo ribadisco, a noi rimane la parte più efficace di questa azione di contrasto: impedire l'infezione. Se i nostri sistemi sono già attrezzati per non infettarsi, non hanno nulla di cui temere. Se l'infezione è già presente, siamo già alle prese con il problema da risolvere, e la nuova variante non aggiunge nulla di nuovo.

Altri post/risorse correlate:

Condividi questo post :

====================================================================

Conficker.D and the alleged Apocalypse of April 1st

Here we are again, new variant of Conficker in the wild (Conficker.D) and new episode to help you understand a little better the dynamics of infection and real situations of risks to face. This time the need to clarify is necessary: we see an hype in the news about this new variant and they took only the useful items for a scoop, beginning to proclaim the risk of a kind of Apocalypse for the next April 1st. The unfortunate but probably wanted coincidence of this day with the traditional fool's day has facilitated the growth of confusion in customers, which rightly wonder what will be the impact of this new threat. So let us clarify.

First point. We look at the facts, and these are the awareness of this new variant in the wild: here it is the link to the technical description from Microsoft Malware Protection Center (MMPC)

Worm:Win32/Conficker.D

From the Analysis tab, at the bottom end, you can read:

Once a day, Win32/Conficker.D may build one of 50,000 URLs to download files starting on April 1, 2009. The worm uses one of the following top level domains from over 100 different countries, and only visits 500 of the generated URLs within a 24-hour period

As you can see, the reference to the 1st of April is here. But this behavior, remember it is the dynamic update of the worm which contacts web sites and tries to download new malware, is not new for this variant D, was already present by version B!!

Depending on the system date, Win32/Conficker.B may build a URL to download files starting on January 1, 2009

What actually changes with this new variant is the number of attempts to contact and download: from April 1st, we can reasonably expect an increase in network traffic generated from infected systems and the risk of new malware download.

Second point. The part underlined in the previous sentence allows me to go to the heart of the problem: instead to worry about the impact of this infection we must focus on what should we do to prevent infection, and this variant does not change the list of tasks that administrators are required to perform to prevent infection, activities and recommendations summarized in this my new landing page about Conficker

Conficker worm: considerations and resources for effective containment

Third point. Just want to be precise, this variant D is even less aggressive because does not use all the attack vectors to spread, like previous versions:

Conficker.D infects the local computer, terminates services and blocks access to numerous Web sites. This variant does not spread to removable drives or shared folders across a network.

That said, I hope will help to assess this threat by a correct point of view, is still important to note the seriousness of this worldwide Conficker infection: more infected systems, the more the impacts of web contact and download dynamics you could see from April 1st onwards. No one can predict at this time which specific effects we will see, because we may not know what will be downloaded in those situations where this process will be successful.

On the other hand, I repeat, we are in in charge of the most effective action to protect from this threat: prevent infection. If our systems are already equipped to be safe, we have nothing to fear. If the infection is already present on our systems, we are already facing the problem, and the new variant adds nothing new.

Other related posts/resources:

 

Share this post :
Comments
  • Ciao Feliciano..

    Poichè il virus in oggetto è stato in grado di mettere a dura prova il livello di protezione della rete e dei pc c/o l'azienda per cui lavoro, non oso più sottovalutare il problema.

    Su internet ho letto che il fine di questo malware è quello di realizzare una rete Botnet controllabile attraverso appositi software che possono essere rivenduti sul mercato nero a chi ne volesse fare gli usi più disperati.

    E' il caso della BBC che ha acquistato l'accesso ad alcuni PC di una rete Botnet per lanciare da li un attacco ad un loro server per effettuare dei test DDOS come spiegato in questo articolo:

    http://www.ilsoftware.it/articoli.asp?id=5086

    E che dire di questa nuova variante, sicuramente già in circolazione e pronta ad entrare in azione il 1 Aprile provocando chissà quale catastrofe.

    Quello che mi preoccupa di più non è il fatto che il mio pc o qulli della mia zienda siano infetti o no, e che i PC degli altri lo siano e ti spiego il perchè.

    Se sul mio pc entra un virus come il Conficker, riesco bene o male a porre rimedio attraverso appositi tools di rimozione o riformattando il tutto.

    Ma come posso evitare che 9 milioni di pc infetti lancino attacchi contemporanei su un sito web o su un server di posta magari della mia azienda ?

    Non è possibile, e non è possibile neanche disinfettarli da remoto, come aveva ipotezzato tempo fa un tizio che pensava di sviluppare un malware "BUONO" capace di rimuovere e proteggere i pc infetti.

  • Ciao Feliciano,

    Purtroppo ho notizie di aziende e PA che sono messe veramente male: admin per tutti, PC non patchati, antivirus non centralizzati. Che dire. Questi virus colpiscono proprio queste realtà ancora in uno stato primitivo per quello che riguarda la sicurezza.

    Forse lo spauracchio del 1° Aprile potrà servirgli per mettersi in regola e presto.

  • @massimone73: se ognuno fa la sua parte (con tutte le precauzioni di prevenzione: patch, AV, utenze amministrative e password) si contribuisce alla bonifica generale e al contrasto di queste botnet. Riguardo alla difesa rispetto agli attacchi DDOS, su questo Microsoft e la rete di partner MSRA cercano di trovare strategie valide su scala internazionale.

    @Roberto: devo assolutamente darti ragione, e confermare che la situazione in Italia è proprio quella, in molti casi. Quindi sì, se questo allarmismo aiutasse a smuovere un po' la situazione, si potrebbe davvero dire che non tutto il male vien per nuocere

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment