A proposito della nuova variante Conficker.C (anche detta Conficker.B++)


La minaccia Conficker sta mostrando la sua vera natura, di non essere un semplice esercizio di stile: probabilmente in risposta all’iniziativa di coordinamento inter-forze, che aveva messo in campo la possibilità di impedire la registrazione di domini DNS in grado di abilitare la distribuzione di questo malware, gli autori di Conficker hanno realizzato una nuova variante che aggiunge forse poco alla funzionalità di base di questo worm ma lo attrezzano con un ulteriore meccanismo per auto-aggiornarsi o per inoculare altro malware su sistemi già infettati.

Notate, come indicato dal post del MMPC su questa notizia, che il tool MSRT fornito lo scorso 10 febbraio opera già il rilevamento di questa variante: per ora la indica come variante Conficker.B ma dalla prossima versione la identificherà come

Worm:Win32/Conficker.C (anche detta Conficker.B++)

Chi fosse interessato agli internals della famiglia Conficker (compresa quest’ultima), può reperirne diversi in un interessante e dettagliato Technical Report della società SRI International “An Analysis of Conficker’s Logic and Rendezvous Points“.

Altri post/risorse correlate:


Share this post :

Comments (17)

  1. massimone73 says:

    Speriamo che questa volta gli antivirus riescano a riconoscere per tempo questa nuova variante che continua inesorabilmente la sua diffusione.

    A tutt’oggi, nei pc aziendali, continuo a trovare e a rimuovere scorie di questo stramaledetto malware.

  2. Feliciano Intini says:

    @massimone73: effettivamente questa è stata una caratteristica di questa infezione, la capacità di mettere in difficoltà i vendor AV nella produzione di firme efficaci. Se posso essere indiscreto, e se non è un problema condividerlo, quale AV si usa nella tua azienda?

  3. massimone73 says:

    Ho sempre utilizzato F-Secure reduce dall’esperienza acquisita negli anni in cui esisteva solo il dos e l’unico antivirus veramente efficace era F-Prot.

    Devo dire che grazie ad F-Secure, comunque, sono riuscito a rimuovere il malware Conficker in azienda.

    Avvalendomi, infatti, del software F-Secure Policy Manager che consente di gestire l’installazione, l’aggiornamento e le policy dell’antivirus in modo centralizzato, sono riuscito ad eseguire contemporaneamente su tutti i pc membri del dominio il tool di rimozione Conficker con estrema semplicità.

    Ritengo, inoltre, che F-Secure sia sempre un passo avanti a tutti gli altri programmi antivirus, e che questa è stata l’unica volta in più 10 anni di utilizzo che qualcosa di tale portata riuscisse a sfuggire alle firme di questo AV.

    Rimango pertanto un sostenitore accanito di tale software, unica pecca è la quantità di risorse utilizzate che a mio modesto parere è un pò esosa.

  4. valeinrete says:

    Feliciano , a parte la trascuratezza relativa alle infrastrutture e alla distribuzione di patch, quale vendor secondo te si è mosso e si stà muovendo meglio per quanto riguarda la risoluzione del problema conficker ? nessuno mi è parso reattivo, anche se io posso parlarti dell’esperienza mcafee che ancora oggi ha dei problemi ..

  5. massimone73@hotmail.com says:

    Ribadisco per esperienza sul campo che F-Secure è il migliore.

    Detto ciò, ritengo comunque che anche Kaspersky e Bitdefender non siano da meno.

    Tengo comunque a sottolineare che nei giorni successivi alla propagazione in azienda del virus Conficker, nel tentativo di individuare e rimuovere il malware in oggetto, ho installato svariati software antivirus e nessuno, a parte Trojan Remover, è riuscito ne a rimuoverlo ne tantomeno a rilevarlo.

    I software provati sono i seguenti:

    Spybot – Search & Destroy (Free)

    Malwarebytes (Free)

    Kaspersky (Demo)

    Bitdefender (Demo)

    PrevX CSI (Acquistate 20 licenze)

    Emsi a-squared (Free)

    Ovviamente non escludo che nei giorni successivi alle mie prove, anche questi software con i dovuti aggiornamenti sarebbero stati, probabilmente, in grado di riuovere il virus.

    Voglio inoltre segnalare che TrojanRemover si è rilevato molto efficace in termini di rilevamento, rimozione e velocità di scansione "circa 60 secondi".

    I creatori di Conficker hanno scoperchiato il vaso di Pandora e non escludo che nei giorni a venire altri virus utilizzeranno le capacità di autopropagazione e di offuscamento di questo terribile virus.

    Ritengo quindi che la sfida tra chi realizza queste minacce e chi cerca di contrastarle sia ancora tutta da giocare.

  6. valeinrete says:

    Tu parli di F-SECURE,(non conosco prodotti f-secure purtroppo) ma ha una sorta di console centrale per la gestione eventi e controllo macchine tipo la epo di mcafee o la eTrust console di Computer Associates ? perchè posso capire che siano efficaci dal punto di vista delle singole workstations,ma se devi andare ad eseguire un operazione di bonifica di 1500 2000 macchine difficilmente potrai gestirle tutte senza una console centrale..

  7. massimone73 says:

    Come già accennato nei precedenti commenti, anche F-Secure dispone di un applicativo che consente la gestione centralizzata che si chiama F-Secure Policy Manager.

    E’ proprio grazie a questo software se sono riuscito ad egesuire simultaneamente in modo centralizzato il tool di rimozione Conficker rilasciato da F-Secure.

  8. Fabio says:

    NOD32 lo rileva e lo elimina. Ho pulito 2 pc e qualche chiavetta usb con questo antivirus.

  9. massimone73 says:

    Già da qualche settimana tutti gli antivirus rilevano il Conficher.

    Ciò su cui si discuteva è il fatto che la capacità nel rilevarlo è giunta troppo tardi quando ormai il warm si era diffuso a macchia d’olio permettendo ai creatori di questo virus di disporre per un ampio periodo di tempo di una rete BotNet composta da oltre 9 milioni di PC.

  10. Anonymous says:

    [English version of considerations and best practices will appear below: translation in progress] RESOURCES

  11. logaritmo10 says:

    Chi mi puo’ aiutare?Sono quasi certo che si tratta di una nuova variante di conficker,presenta tutti i sintomi e in + e’ quasi impossibile da rimuovere.Ho formattato a 0 fill con power max 4.01 e spostato hd,dvd,floppy,mause e tastiera e moni su altro pc,poi ho reinstallato xp home ma il virus e’ rimasto??!!!!Comincio a pensare che riscriva i firmware,non so + che fare gia 3 pc infetti.aiuto. grazie.

  12. logaritmo10 says:

    Ho xp home originale,senza aggiornamenti(2002)c.a. ma stranamente,finita l’installazione ex novo su hd formattato basso livello,mi compare gia’ il "sp1" sicuramente e’ una parte del virus.Poi trovo un svchost.exe di rete in piu’ e non sono + amministratore di sistema.I diritti vengono presi da account sconosciuto,che da remoto controlla la macchina.Nel recycle trovo appunto una cartella che nn si cancella del tipo S-1-5-21-171556784-789336058-854245398-1004  Ripeto tutto cio’ subito alla prima installazione dopo un formatt basso livello.Che fare???

  13. logaritmo10 says:

    Salve a tutti. Purtroppo non ho risolto il mio problema se non di usare una live cd di linux….non c’e’ altro da fare!!!!Speravo che qualche anima buona e sopratutto competente mi aiutasse a eliminare il problema o a capirci qualcosa,ma nulla.Ho pure telefonato alla microsoft,parlando con i loro tecnici informatici,ma mi hanno solamente inviato x posta il loro malaware remover utility e malawarebyte ! Il problema e’ + alla radice:anche dopo formattazione basso livello,il virus rimane!Ho spostato HD form 0 fill e perif min indispens. su altro pc ma gia’ alla 1° installazione trovo : virus boot sector write! continue Y/N ?Ma allora riscrive i firmware e /o il bios..??? Spero in un aiuto concreto o passero’ definitivamente a linux. Sono fermo da quasi un mese!!!Non vi dico i danni.Saluti cordiali.

  14. logaritmo10 says:

    Mi spiace non aver avuto risposta alcuna,ma non importa ho risolto alla stragrande,a discapito di microsoft ora uso ubuntu(il pinguino) e mi trovo benissimo.Non torno indietro nemmeno se Zio Bill mi ripaga di tutti i danni avuti!!!!!! Salutooz

  15. massimone73 says:

    To: logaritmo10

    Certo che migrare da Windows a Linux solo per alcune tue difficoltà riscontrate nel rimuovere questo malware mi sembra alquanto esagerato.

    Comunque volevo semplicemente dirti che anche io ho avuto i tuo stessi problemi e non riuscivo a spiegarmi come mai dopo aver riformattato e reinstallato tutto da capo il malware riappariva; poi però grazie all’aiuto di Feliciano sono riuscito a venirne a capo e a risolvere definitivamente il problema.

    Per quando concerne la tua scelta di migrazione, devo dirti che io utilizzo entrambi i sistemi ed è vero che con Linux non capita quasi mai di imbattersi in problemi come questo, ma è anche vero che l’ambiente Linux o Unix non è facile da gestire come quello Windows e le conoscenze richieste per operare in modo discreto devono essere abbastanza elevate.

    Per concludere, il fatto che tu sia riuscito ad installare una distro facile come Ubuntu non significa che tu conosca e sappia utilizzare Linux, vedrai che in futuro dovrai far fronte a tantissime altre problematiche e quando non saprai venirne a capo a quel punto spero tu capisca che gli intoppi si incontrano su tutti i sistemi sia Linux, Windows che Mac OS X.

  16. logaritmo10 says:

    Ma scusa,che ne sai delle mie competenze informatiche.Per quel che sai te potrei benissimo essere un ingegnere informatico,o giu’ di li.Nel giro di pochissimo tempo ti configuro nessus,snort,iptables da terminale salvo e rendo eseguibile! Poi ripeto non sai nemmeno che danno ha provocato questo bootkit e a me sembra proprio il caso di prendere provvedimenti drastici.Tu fai il flash del bios da disco pulito,formatta a 0 fill quante volte vuoi e il problema rimane.Se sei capace di dissaldarmi i 2 cmos cancellare tutto il contenuto e riprogrammarmeli,ti regalo il pc.Tu sai che oltre ai circa 512kB c’e’ altro spazio nel cmos vero?Se i 3kB di pytom sono li che fai???? Si fa presto a parlare ,un po’ meno a risolvere. saluti.

  17. massimone73 says:

    Nel mio precedente post ho soltanto voluto sottolineare che le difficoltà tra i sistemi Windows e Linux sono diverse e più complesse per certi aspetti sotto Linux.

    Di certo non intendevo lasciare intendere che tu non sia capace di gestire sistemi Linux e se l’ho fatto ti chiedo scusa.

    Ad ogni modo a tutt’oggi non mi risulta che il virus in oggetto riprogrammi il bios.