Kaspersky, OpenDNS collaborano a Slow Conficker Worm

OpenDNS ha aggiunto una funzione ai suoi servizi DNS (Domain Name System) per combattere un worm diffuso, con l'aiuto della società di sicurezza russa Kaspersky Lab.

OpenDNS ha una propria rete di server DNS che traducono i nomi di dominio in IP (Internet Protocol) indirizzi così, ad esempio, i siti Web possono essere visualizzati in un browser. La società afferma che il suo sistema è più veloce rispetto all'utilizzo dei server DNS gestiti dagli ISP (provider di servizi Internet) e offre una migliore protezione contro il phishing e altre funzionalità come il filtro dei contenuti Web.

OpenDNS utilizza ora un elenco di siti Web forniti da Kaspersky Lab che il worm Conficker chiama per aggiornarsi. Si ritiene che il worm, noto anche come Kido e Downandup, abbia infettato fino a 10 milioni di PC sfruttando una vulnerabilità nel Microsoft Windows Server Service, nonostante Microsoft abbia emesso una patch di emergenza lo scorso ottobre.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Conficker contiene un algoritmo che genera dozzine di nuovi nomi di dominio ogni giorno. Gli hacker che controllano Conficker possono registrare uno di questi nomi di dominio e quindi inserire istruzioni o aggiornamenti per il malware sul sito Web per il download di Conficker al momento del check-in.

Il problema è che nessuno sa quale sito Web verrà attivato successivamente o quando. Tuttavia, l'algoritmo è stato violato da Kaspersky, quindi sanno quali siti Web potrebbero potenzialmente essere pubblicati.

Il meccanismo è utilizzato anche da altri controller di botnet. È difficile per i professionisti della sicurezza fermarsi, anche se una società di sicurezza si è recentemente impegnata a registrare tutti i potenziali nomi di dominio per bloccare gli aggiornamenti per una botnet diversa.

OpenDNS sta lavorando a questo problema prendendo un elenco di potenziali domini da Kaspersky che Conficker poteva richiedere e non permettere loro di risolvere. Ciò significa che se un PC che utilizza OpenDNS è infetto da Conficker, il malware non dovrebbe essere in grado di aggiornarsi. Tuttavia, il malware sarà ancora sul PC.

OpenDNS ha anche aggiunto una funzionalità di protezione botnet al suo servizio, che avviserà gli amministratori se hanno una macchina infetta.

Conficker ha dimostrato di essere uno dei più vermi gravi nella memoria recente. Le infezioni si sono diffuse rapidamente dall'anno scorso. I sistemi vengono infettati quando un hacker costruisce una RPC (Remote Procedure Call) dannosa su un server senza patch, che consente quindi l'esecuzione di codice arbitrario su una macchina. Conficker usa anche altri metodi per diffondersi, tra cui provare a copiare se stesso su altre macchine di rete condivise indovinando le password

Finora, i controllori di Conficker non hanno fatto nulla di malvagio con la botnet. Gli analisti della sicurezza stanno osservando attentamente la situazione a causa dell'enorme dimensione della botnet, che potrebbe aver spaventato i suoi controllori dal tentare di usarlo per attacchi denial-of-service o l'invio di spam.

I servizi di OpenDNS sono gratuiti. mostrare annunci pubblicitari insieme ai risultati della ricerca se qualcuno immette un nome di dominio non valido. Tuttavia, OpenDNS correggerà errori di battitura nei nomi di dominio se il servizio è in grado di indovinare il sito che qualcuno intende visitare.