Conficker Group dice Worm 4.6 Milioni di Forti

Gli esperti di sicurezza dicono che il worm Conficker ha infettato un sacco di computer, rendendolo la più grande "botnet" di computer hackerati sul pianeta. La cosa su cui non sembrano essere d'accordo, tuttavia, è esattamente quante persone sono state colpite.

Il gruppo di ricercatori che ha seguito da vicino e in conflitto il worm ha ora rilasciato la sua stima di La dimensione di Conficker. Secondo i dati compilati dal Conficker Working Group, Conficker è stato individuato in poco meno di 4,6 milioni di indirizzi IP unici. Le sue prime varianti A e B rappresentano la parte del leone di questo - 3,4 milioni di indirizzi IP - con la variante C più recente individuata a 1,2 milioni di indirizzi.

I paesi che misurano il maggior numero di infezioni per tutte le varianti sono la Cina, Brasile e Russia.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Conficker ha infettato le macchine Windows da ottobre, ma nelle ultime settimane ha ricevuto molta attenzione come una versione più recente di il worm, Conficker.C, ha aggiornato il modo in cui cerca le istruzioni, rendendo molto più difficile l'interruzione.

Lo scorso fine settimana, Conficker ha infettato quasi 800 PC presso il Centro di scienze della salute dell'Università della Utah. Il personale IT pensa che potrebbe essere entrato in rete tramite una pen drive infetta. Una volta installato su un PC, Conficker è molto efficace nel cercare altre macchine Windows senza patch da diffondere.

Gli utenti che si chiedono se sono infetti dal worm possono provare questo semplice test sviluppato da SecureWorks.

Studi fatti due settimane fa da OpenDNS e dal gruppo Internet Security Systems di IBM avevano suggerito che ben il 4% dei PC avrebbe potuto essere colpito dal worm Conficker, ma l'analisi del Working Group suggerisce che il numero è probabilmente molto più basso.

"Speriamo che la pubblicazione di questi numeri getterà un po 'di realtà nell'equazione ", ha detto Andre DiMino, cofondatore di The Shadowserver Foundation e membro del Working Group. Non crede che il 4% dei PC sia stato infettato. "In questo momento è difficile spiegarlo", ha detto.

Ma il numero effettivo di infezioni potrebbe essere superiore o inferiore a 4,6 milioni, ha ammesso DiMino. Poiché il metodo del gruppo di lavoro conta gli indirizzi IP, potrebbero avere consumatori con un numero eccessivo di account che accedono da più indirizzi IP o sottostimate da infezioni aziendali, spesso nascosti dietro un singolo indirizzo IP.

OpenDNS, IBM e il gruppo di lavoro tutti hanno utilizzato tecniche diverse per arrivare alle loro stime, ma tutte si basano sul fatto che le macchine infette devono effettuare il check-in con un server "command and control" per le istruzioni. Il gruppo di lavoro ha ottenuto i suoi dati configurando i server "sinkhole" nei punti su Internet utilizzati dalle macchine infette per scaricare le istruzioni. Lo hanno fatto prendendo in consegna i domini Internet che Conficker è programmato per visitare per cercare quelle istruzioni.

Il numero di infezioni misurate dal Gruppo di lavoro è in linea con le stime delle varianti precedenti del worm, ha affermato DiMino. "Non tutti gli As e Bs sono stati trasformati in C", ha detto.

Per complicare ulteriormente le cose, la settimana scorsa è stata avvistata una nuova variante di Conficker, che comunica principalmente usando le tecniche peer-to-peer, che non sono facilmente misurabili dai server sinkhole del gruppo di lavoro. Ciò significa che il gruppo probabilmente dovrà sviluppare un nuovo modo di contare le infezioni mentre la variante peer-to-peer si diffonde, ha detto DiMino.

Anche se i dati del gruppo di lavoro sono, a prima vista, molto diversi da quelli di IBM, i suoi risultati non sono una sorpresa, secondo Holly Stewart, un gestore di risposta alle minacce con Internet Security Systems (ISS) di IBM. "È davvero difficile" ottenere una correzione sulla dimensione della botnet, ha detto. "Non penso che nessuno abbia una risposta perfetta", ha detto. "Hanno un punto dati e abbiamo un altro punto dati."

"Se mi chiedi qual è il vero numero", ha aggiunto, "non lo sappiamo".