Conficker, la minaccia n. 1 di Internet, ottiene un aggiornamento

I ricercatori della sicurezza dicono che un worm che ha infettato milioni di computer in tutto il mondo è stato riprogrammato per rafforzare le sue difese mentre tentava di attaccare più macchine.

Conficker, che sfrutta una vulnerabilità nel software di Microsoft, ha infettato almeno 3 milioni di PC e forse addirittura 12 milioni, rendendolo un enorme botnet e uno dei più gravi problemi di sicurezza informatica negli ultimi anni.

I botnet possono essere utilizzati per inviare spam e attaccare altri siti Web, ma devono essere in grado di ricevere nuove istruzioni. Conficker può fare questo in due modi: può provare a visitare un sito Web e raccogliere istruzioni oppure può ricevere un file tramite la sua rete P-to-P (Peer-to-Peer) crittografata personalizzata.

[Ulteriori letture: come rimuovere malware dal PC Windows]

Nell'ultimo giorno circa, i ricercatori con Websense e Trend Micro hanno dichiarato che alcuni PC infettati da Conficker hanno ricevuto un file binario su P-to-P. I controllori di Conficker sono stati ostacolati dagli sforzi della comunità di sicurezza per ottenere indicazioni stradali tramite un sito Web, quindi ora stanno utilizzando la funzione P-to-P, ha affermato Rik Ferguson, senior security advisor per il fornitore Trend Micro.

Il nuovo binario dice a Conficker di avviare la scansione di altri computer che non hanno patchato la vulnerabilità di Microsoft, ha detto Ferguson. Un aggiornamento precedente disattivava quella funzionalità, il che lasciava intendere che i controllori di Conficker pensavano che la botnet fosse diventata troppo grande.

Ma ora "sicuramente indica che [gli autori di Conficker] stanno cercando di controllare più macchine", ha detto Ferguson. > Il nuovo aggiornamento dice inoltre a Conficker di contattare MySpace.com, MSN.com, Ebay.com, CNN.com e AOL.com a quanto pare per confermare che la macchina infetta è connessa a Internet, ha detto Ferguson. Blocca inoltre i PC infetti dalla visita di alcuni siti Web. Le versioni precedenti di Conficker non consentivano alle persone di accedere ai siti Web delle società di sicurezza.

In un'altra fase, il file binario sembra essere programmato per interrompere l'esecuzione il 3 maggio, che interromperà le nuove funzioni, ha affermato.

Non è la prima volta che Conficker è stato codificato con istruzioni basate sul tempo. Gli esperti di sicurezza informatica si stavano preparando per la catastrofe il 1 aprile, quando Conficker avrebbe dovuto visitare 500 dei circa 50.000 siti Web casuali generati da un algoritmo interno per ottenere nuove istruzioni, ma il giorno passò senza incidenti.

Anche preoccupante è che il nuovo aggiornamento dice a Conficker di contattare un dominio che è noto per essere affiliato con un'altra botnet chiamata Waledec, ha detto Ferguson. La botnet Waledec è cresciuta in modo simile al worm Storm, un'altra grande botnet che ora è sbiadita ma che è stata utilizzata per inviare spam. Significa che forse lo stesso gruppo potrebbe essere collegato a tutte e tre le botnet, ha detto Ferguson.

Anche se Conficker non sembra essere stato ancora usato per scopi dannosi, rimane una minaccia, ha detto Carl Leonard, una ricerca sulle minacce gestore per Websense in Europa. La funzionalità P-to-P indica un livello di sofisticazione, ha detto.

"È evidente che hanno investito molte risorse nella raccolta di questa suite di macchine", ha affermato Leonard. "Vogliono proteggere il loro ambiente e lanciare questi aggiornamenti in modo che possano sfruttarli al meglio."

Non tutti i computer infettati da Conficker verranno necessariamente aggiornati rapidamente. Per utilizzare la funzionalità di aggiornamento P-to-P, un PC infetto da Conficker deve cercare altri PC infetti, un processo che non è immediato, Ferguson.

Dato che gli esperti di sicurezza si differenziano notevolmente su quanti computer possono essere infettati da Conficker, è difficile dire quale percentuale abbia il nuovo aggiornamento.

Trend Micro e Websense hanno avvisato che i loro risultati sono preliminari, poiché l'aggiornamento binario è ancora in fase di analisi.

Anche se Microsoft ha emesso una patch software di emergenza lo scorso ottobre, Conficker ha continuato a trarre vantaggio da quei PC che non sono stati rattoppati. In effetti, alcune varianti di Conficker cercheranno effettivamente la vulnerabilità dopo che la macchina è stata infettata, quindi nessun altro malware può trarne vantaggio.