Trend Micro - Conficker: cosa succederà il 1° aprile? I consigli per proteggersi

31/mar/2009 12.53.05 M&CM Contatta l'autore

Questo comunicato è stato pubblicato più di 1 anno fa. Le informazioni su questa pagina potrebbero non essere attendibili.

                                                                 Comunicato stampa

 

 

Cosa farà Conficker il primo aprile? Trend Micro fa il punto sul discusso worm e offre agli utenti suggerimenti utili per proteggersi

 

 

Milano, 31 marzo 2009 - Molto è stato detto a proposito di un worm come Conficker (conosciuto anche come DOWNAD) e del suo misterioso potenziale dannoso che si presume verrà attivato il primo di aprile. Manca solo un giorno al momento della verità e l'attenzione che circonda questa minaccia non è destinata a calare. Ma la storia delle minacce online ci dice che le date di attivazione di altri malware parimenti famosi sono venute e passate senza che succedesse alcunché di particolare. Che il primo aprile diventi un D-Day o meno, il settore della sicurezza continuerà a tenere d'occhio qualunque possibile attività sospetta - come d'altronde è nei suoi compiti.

 

Ciò che sappiamo finora è che la terza e ultima variante (rilevata col nome WORM_DOWNAD.KK), apparsa per la prima volta il 4 marzo 2009, comprende un algoritmo capace di generare un elenco di 50.000 domini differenti, cinquecento dei quali saranno scelti casualmente per essere contattati dai PC infetti a partire dal primo aprile 2009 per ricevere copie aggiornate, nuovi componenti malware o istruzioni supplementari.

 

Figura 1. Le routine che WORM_DOWNAD.KK inizierà ad attivare a partire dal 1' aprile 2009

 

Trend Micro aderisce al Conficker Working Group, un gruppo altrimenti noto come Conficker Cabal, tra le cui attività vi è anche quella di chiarire gli aspetti riguardanti DOWNAD/Conficker e di ciò che questo malware è destinato a fare alla data prevista. Trend Micro ricostruisce la vicenda, ribadendo alcuni punti fermi:

 

D: Cosa accadrà il 1' aprile 2009?

R: In base alla nostra analisi tecnica collettiva, abbiamo determinato che i sistemi infettati con l'ultima versione di Conficker inizieranno a usare un nuovo algoritmo che deciderà quali domini contattare. Non abbiamo identificato alcuna altra azione prevista per il 1' aprile 2009.

 

D: I sistemi già infetti riceveranno una versione aggiornata di Conficker il 1' aprile?

R: È possibile che il 1' aprile i sistemi colpiti dall'ultima versione di Conficker vengano aggiornati con una sua nuova versione, contattando i domini presenti nel nuovo elenco. Tuttavia questi sistemi potrebbero essere aggiornati anche in qualunque altra data prima o dopo il 1' aprile usando il canale di aggiornamento "peer-to-peer" presente nell'ultima versione di Conficker.

 

D: Il grande pubblico dovrebbe essere preoccupato? E perché?

R: No, il grande pubblico non dovrebbe preoccuparsi; la maggior parte degli utenti è protetta dalla patch Microsoft Security Update MS08-067 che viene installata automaticamente.

 

D: Esistono altre modifiche nell'ultima versione di Conficker?

R: L'ultima versione di Conficker introduce anche una nuova capacità di aggiornamento“peer-to-peer” (P2P) che potrebbe consentire a un sistema colpito dalla versione più recente di Conficker di ricevere una nuova versione o nuove istruzioni contattando un altro sistema colpito da Conficker piuttosto che un dominio determinato dal nuovo algoritmo di generazione dei domini.

 

D: Si sente parlare di un'imminente seconda fase di attacchi da parte di Conficker. Cosa pensate che possa accadere?

R: Prima o poi questa minaccia potrebbe entrare in una seconda fase; tuttavia riteniamo che in una situazione come questa - che ha numerosi riscontri simili accaduti in passato - e considerata l'enorme attenzione ricevuta da questo worm, oltre che il monitoraggio effettuato da operatori della sicurezza e forze dell'ordine, tutto questo possa costituire un deterrente verso una seconda ondata di attacchi. Non possiamo prevedere le intenzioni dei criminali, ma ciò che possiamo fare è lavorare per limitare l'impatto di una qualsiasi seconda fase.

 

D: Come mai Conficker continua a diffondersi nonostante l'aggiornamento rilasciato da Microsoft lo scorso ottobre?

R: Esiste sempre una certa percentuale di utenti che non applica gli aggiornamenti per varie ragioni. Per quanto la maggioranza degli utenti home risulti protetta dall'installazione automatica della patch, una volta che il worm riesce a penetrare in un sistema aziendale diventa difficile da eliminare, ed è proprio qui che gli utenti hanno problemi.

 

D: Perché Conficker utilizza nomi di dominio? È una nuova tendenza?

R: Il worm cerca di scaricare malware da questi domini e vi carica anche le statistiche di infezione, ma ciò non rappresenta una nuova tendenza.

 

D: Cosa sta facendo il Conficker Working Group in merito a questo nuovo algoritmo?

R: Il Conficker Working Group lavora ininterrottamente per bloccare l'accesso ai domini che i sistemi infettati da Conficker cercano di contattare. Questo lavoro prosegue ed è stato allargato per includere anche quei domini che saranno contattati dall'ultima versione di Conficker a partire dal 1' aprile 2009.

 

D: Abbiamo letto su alcuni report che questo worm impedisce di ricevere aggiornamenti, inclusi quelli per i programmi antivirus. È vero?

R: Sì. Gli attacchi del malware sfruttano spesso una varietà di tattiche per rimanere nascosti sui sistemi infetti.

 

D: Cosa fare allora per proteggere i PC dall’infezione?

R:   -    Installare l’aggiornamento MS08067  e, in generale installare gli aggiornamenti di             sicurezza non appena vengono rilasciati. Configurare il proprio PC per ricevere in automatico gli aggiornamenti/patch da Microsoft o altre società di software.

-          Assicurarsi che il proprio software di sicurezza sia aggiornato

-          Disabilitare la funzione “Drive Auto-run” per evitare infezioni da chiavette USB

-          Utilizzare password sicure con combinazioni di lettere, numeri e simboli e cambiarle di frequente

-          Prestare attenzione quando si cercano informazioni online su Conficker/DOWNAD. Sono stati individuati falsi pacchetti antivirus che stanno sfruttando la situazione a loro vantaggio, facendo credere all’utente malcapitato di essere stato infettato ed esortandolo a pagare per scaricare la falsa applicazione, che in molti casi si rivela essere un malware.

 

D: Come posso sapere se il mio PC è infetto?

R: Invitiamo a visitare lo scanner antivirus e antispyware online Trend Micro HouseCall per rilevare ed eliminare qualunque malware. HouseCall è disponibile gratituamente  all’indirizzo:

http://housecall.trendmicro.com/it/

Se  si scopre di essere stati infettati, seguire le istruzioni per la rimozione collegandovi ai seguenti link:

·         Consumers (utenti privati)

·         Small Business, Medium Business, Enterprise (aziende)

 

 

Per ulteriori informazioni sulla minaccia è possibile visitare i seguenti siti Trend Micro:

 

·         Trend Micro CounterMeasures blog:  Downad/Conficker, who’s the April Fool?

·         TrendLabs Malware Blog:  What Will Go DOWNAD on April 1?

·         Ultima variante della minaccia:  WORM_DOWNAD.KK

 

Trend Micro in breve

Trend Micro, leader globale nella sicurezza dei contenuti Internet, è impegnata a rendere più sicuro lo scambio di informazioni digitali sia per le aziende che per gli utenti privati. Pioniere del settore in cui ha sempre svolto un ruolo di avanguardia, Trend Micro promuove lo sviluppo di una tecnologia per la gestione integrata delle minacce in grado di assicurare la continuità operativa e proteggere le informazioni personali e il patrimonio di risorse da malware, spam, fughe di dati e dalle più recenti minacce Web. Per approfondimenti sulle minacce è possibile visitare l’osservatorio TrendWatch all’indirizzo www.trendmicro.com/go/trendwatch

Le soluzioni flessibili di Trend Micro, disponibili in diversi formati, sono supportate 24 ore su 24 e 7 giorni su 7 da ricercatori esperti nell’analisi delle minacce attivi in tutte le aree geografiche. La gran parte di queste soluzioni sono potenziate da “Trend Micro Smart Protection Network, un’infrastruttura cluod-client di nuova generazione progettata per proteggere i clienti dalle minacce Web. Trend Micro, società multinazionale con quartier generale a Tokyo, commercializza le proprie soluzioni di sicurezza attraverso una rete di business partner presenti in tutto il mondo. Per ulteriori informazioni e per ottenere copie di prova di tutti i prodotti e servizi Trend Micro, visitare il sito Web it.trendmicro-europe.com.

 

 

Per ulteriori informazioni:

Carla Targa                                           Federica Beretta

Trend Micro                                           M&CM

Tel 02 925931                                       Tel 02 68821.619

carla_targa@trendmicro.it                      f.beretta@mecm.it
blog comments powered by Disqus
Comunicati.net è un servizio offerto da Factotum Srl