.:: Securnetwork.net Blog – Massimo Rabbi ::.

Trend Micro segnala che il worm Conficker.C (o Downad) ha effettivamente iniziato a scaricare gli aggiornamenti (tanto annunciati).
In ogni caso non da quei siti web che erano sotto controllo ma bensi’ attraverso la sua funzionalità P2P.
Gli esperti hanno rilevato questo comportamento osservando il traffico di rete su un sistema infetto e le modifiche alla cartella Temp di Windows.
A differenza delle altre due varianti, Conficker.C è in grado di stabilire una rete peer-to-peer con gli altri sistemi infetti e puo’ utilizzarla per scaricare ulteriori programmi e/o ricevere comandi remoti.
Stando a quanto rilevato da Trend Micro pare che questa “operazione P2P” sia in piena esplosione.

Nel caso del sistema sotto osservazione è stato rilevato il download e successiva installazione di un aggiornamento criptato da un nodo P2P in Corea.
Il worm è mutato nella variante .E, che mostra nuove caratteristiche.
In particolare tenta di cancellare le proprie tracce, eliminando voci di registro esistenti e utilizzando da quel momento in poi nomi di file e servizi in maniera random.
Il worm si mette in ascolto sulla porta TCP 5114, in attesa di richieste in grado di essere processate dal mini-server HTTP interno.
Si connette a myspace.com, msn.com, ebay.com, aol.com cnn.com al fine di verificare se c’è una connessione Internet attiva.

A quanto pare il worm sta continuando a diffondersi unicamente attraverso la vulnerabilità di Windows.
BitDefender ha fatto sapere che la nuova variante blocca l’accesso non solo al sito web di BitDefender, ma anche a quelli di numerosi security vendors che offrono tools per la rimozione di Conficker in tutte le sue varianti.

Le analisi hanno evidenziato come l’ultima versione di Downad/Conficker dovrebbe disabilitarsi il 3 maggio 2009. Non appare ancora chiaro se siano previsti ulteriori aggiornamenti prima di allora.
Alcuni esperti hanno evidenziato sporadici collegamenti a domini legati alla botnet Waledac.
Anche Symantec ha riscontrato un comportamento analogo.
Un file scaricato da Conficker (484528750.exe) si pensa contenga il bot Waledac.
Tuttavia a parte questo, finora, ne’ Trend Micro, ne’ Symantec si sono sbilanciati circa questa “interconnessione” tra Conficker e Waledac.

Sul sito di Heise Security e’ disponibile una pagina con le principali informazioni su Conficker e collegamenti a test per verificare un’eventuale infezione della propria macchina.
Vengono elencati anche i principali e piu’ importanti tools e scanners per la rimozione.

RIFERIMENTI:
- Conficker now definitely downloading updates, by Heise Security
- The H Security Conficker information site