Snidare e Neutralizzare Conficker

Nelle ultime settimane si è diffuso uno stato di allarmismo intorno al worm Conficker. Conficker (conosciuto anche come Downadup) è un worm apparso alla fine di novembre 2008, che sfrutta una ben nota vulnerabilità (risolta con un aggiornamento straordinario) di Windows come vettore di infezione principale.

Successivamente alla sua apparizione, Conficker si è evoluto in quattro versioni (A,B,B++,C). Per i media la vicenda si è trasformata in una ghiotta occasione per creare una telenovela cibernetica a puntate, agitando lo spauracchio di una fosca minaccia globale, un’imminente Apocalisse tecnologica. A dar involontariamente manforte a questa tendenza è stata la Conficker Cabal, un consorzio nato su iniziativa Microsoft che riunisce esperti e specialisti del mondo dell’industria informatica e dal mondo accademico, con la finalità di coordinare gli sforzi per contrastare il worm.

Conficker Cabal ha ingaggiato una battaglia con il team che da dietro le quinte sviluppa e rilascia Conficker. Battaglia fatta di mosse e contromosse. Di fatto le ultime mutazioni di Conficker sono una risposta alle mosse di Conficker Cabal.

E’ giustificato l’allarmismo? Al momento la risposta è incognita. Di fatto non si può conoscere la prossima mossa del team Conficker. Nei primi mesi di vita il worm ha puntato innanzitutto a diffondersi capillarmente; in seconda battuta ha adottato sofisticati metodi di difesa per rendere arduo il compito degli analisti e mascherare le vere finalità. Al momento nessuno dei quattro agentiConficker ha portato con sé payload nocivi, ma non è detto le prossime mutazioni non portino sgradite sorprese.

Per l’utente domestico Conficker non rappresenta una minaccia gravissima. Oltre a creare un po’ di traffico di rete per tenersi in contatto con i suoi creatori, il worm mira a indebolire le difese del computer, inibendo gli aggiornamenti e la navigazione sui siti di sicurezza e antivirus.

Evitare l’infezione è semplicissimo, bastano pochi accorgimenti che sono poi raccomandazioni standard:

Per chi invece di avere un solo computer si trovasse a che fare con una realtà più complessa, con una LAN con numerosi computer, presento alcuni strumenti per la disinfestazione di massa.

Intanto lo scanner McAfee. Con questo software è possibile effettuare una scansione dell’intera rete e identificare in pochi minuti tutti i sistemi infetti.

Per effettuare la disinfestazione consiglio di utilizzare i tools di BitDefender. Esistono due versioni di Conficker removal tool: quello per l’utente home e la versione network. Il primo viene installato sul computer locale, lo analizza e se trova l’infezione effettua la bonifica. Al termine è necessario riavviare il computer.

La versione network è in grado di bonificare tutti i computer infetti nella rete. Tra le opzioni disponibili c’è quella di effettuare unreboot automatico alla fine della bonifica, e la presentazione di un messaggio di avviso all’utente prima di effettuare il deploy del tool sulla macchina remota.