L'ora zero di Conficker arriva senza eventi - Eppure

Un'attivazione prevista del worm Conficker.c a mezzanotte del 1 aprile è passata senza incidenti, nonostante i timori sensazionalistici che la stessa Internet potrebbe essere interessata, ma i ricercatori della sicurezza hanno detto che gli utenti non sono ancora fuori dai guai.

"Questi I ragazzi non hanno progetti, credo, per rimuovere l'infrastruttura, perché ciò li separerebbe dalle loro vittime ", ha detto Paul Ferguson, ricercatore di minacce presso il fornitore di antivirus Trend Micro, definendo la tecnologia e il design di Conficker.c come" praticamente stato dell'arte. "

" Vogliono mantenere l'infrastruttura attiva e in posizione per rendere molto più difficile per i bravi ragazzi contrastare e mitigare ciò che hanno orchestrato ", ha detto.

[Ulteriori letture: Come per rimuovere malware dal PC Windows]

Worm Stirs

Conficker.c è stato programmato per stabilire un collegamento da computer host infetti con server command-and-control a mezzanotte GMT del 1 aprile. Per raggiungere questi server di controllo, Conficker.c genera un elenco di 50.000 nomi di dominio e quindi seleziona 500 domini nomi da contattare. Questo processo è iniziato, hanno detto i ricercatori.

Esattamente quanti computer sono infettati da Conficker.c non è ancora noto, ma il numero stimato di sistemi infettati da tutte le varianti del worm Conficker supera i 10 milioni, rendendo questo uno dei più grandi botnet mai viste.

Mentre i computer infetti hanno iniziato a contattare i server come previsto, non è successo niente di male.

"Abbiamo osservato che Conficker sta raggiungendo, ma finora nessuno dei server che stanno cercando di raggiungere stanno servendo qualsiasi nuovo malware o nuovi comandi ", ha detto Toralv Dirro, uno stratega della sicurezza presso McAfee Avert Labs, in Germania.

Questo potrebbe significare che le persone che controllano Conficker stanno aspettando i ricercatori e i responsabili IT rilassare la guardia e presumere che il peggio sia finito.

"Sarebbe davvero stupido per i ragazzi che gestiscono Conficker usare la prima opportunità possibile, quando tutti sono molto eccitati e guardandoli con molta attenzione", ha detto Dirro. "Se qualcosa dovesse accadere, probabilmente succederebbe in un paio di giorni."

Rilevamenti, Innoculazione Aumenta

Il tempo non è dalla parte di Conficker. Il worm può essere facilmente rilevato e rimosso dagli utenti. Ad esempio, se un PC non è in grado di raggiungere siti Web come McAfee.com, Microsoft.com o Trendmicro.com indica che il computer potrebbe essere infetto.

Inoltre, i responsabili IT possono individuare facilmente il traffico in arrivo da nomi di dominio dispari e bloccare l'accesso ai computer sulle reti aziendali. "I criminali più lunghi aspettano, gli host meno infetti che hanno", ha detto Dirro.

Ulteriori aiuti provengono da una coalizione di venditori di sicurezza e altri hanno chiamato Conficker Working Group, che si è unito per bloccare l'accesso ai domini che Conficker sta cercando di comunicare con. Ma non è immediatamente chiaro se quegli sforzi, che hanno avuto successo nel bloccare versioni precedenti del worm, saranno efficaci contro l'attivazione di Conficker.c.

"Non possiamo davvero dire quanto siano riusciti i tentativi di bloccarli o non li stiamo indirizzando, "disse Dirro. "Questo è qualcosa che vedremo quando il primo dominio inizia effettivamente a servire malware, se almeno uno inizia a farlo."

Nonostante il passaggio senza incidenti della scadenza di attivazione, la minaccia presentata da Conficker rimane reale.

"Questi I ragazzi sono molto sofisticati, molto professionali, molto determinati e molto misurati nel modo in cui implementano e apportano modifiche alle cose ", ha detto Ferguson, aggiungendo che Conficker è meglio difeso e più resistente alle precedenti versioni del worm. "Questa attivazione il 1 aprile è stata probabilmente arbitraria e determinata a causare l'isteria."

A un certo punto, le persone dietro a Conficker.c potrebbero tentare di generare entrate dalla botnet che hanno creato o potrebbero avere altre intenzioni.

"Il grande mistero è che c'è questa grande pistola carica là fuori, questa rete di milioni di macchine che è sotto il controllo di persone sconosciute", ha detto Ferguson. "Non hanno dato alcuna indicazione su quali siano le loro motivazioni se non giocare con le persone."