Virus Conficker – Come Difendersi

di

Tra i virus più pericolosi in circolazione è nato alla fine del 2008 Conficker. Il virus è entrato ormai in molte strutture informatiche sfruttando una falla del sistema operativo Microsoft di codice MS08-067.

La falla di Microsoft può portare all’esecuzione remota (tramite apposite richieste RPC) di applicazioni non desiderate come worm.

Caratteristiche di Conficker

Quando è in esecuzione Conficker copia se stesso in un percorso a caso nella cartella di sistema %Sysdir% (solitamente C:\Windows\System32).

Successivamente modifica la chiavi di registro per creare un servizio con nome casuale sul sistema compromesso:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\Parameters\”ServiceDll” = “Path to worm”
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{random}\”ImagePath” = %SystemRoot%\system32\svchost.exe -k netsvcs

Esegue connessioni ad uno o più siti web per ottenere l’indirizzo pubblico del sistema infetto. Tra i siti web usati vi sono:

  • http://www.getmyip.org
  • http://getmyip.co.uk
  • http://checkip.dyndns.org
  • http://whatsmyipaddress.com

Da internet scarica il file malware:

  •  http://trafficconverter.biz/[Removed]antispyware/[Removed].exe
Avvia una comunicazione server HTTP server con una porta casuale della macchina infettata e per copiare il file work.

Scansione continuamente la rete locale per verificare vulnerabilità delle macchine infettate ed eseguire exploit. Se gli exploit hanno successo, il computer remoto si connetterà all’http server e scaricherà la copia del file worm.

L’ultima variante di Conficker.worm usa lo schedulatore dei processi e un file Autorun.inf file per replicarsi su sistemi non vulnerabili o infettare macchine precedentemente pulite.

Difendersi

Se i computers non sono ancora infetti:

  1. In base alla versione del sistema operativo che utilizzate mantenetelo aggiornato con le patch indicate nella vulnerabilità MS08-067.
  2. Passate ad un sistema operativo Linux, perchè è gratuito e molto meno soggetto ad infezioni.
  3. Tra le impostazione del vostro firewall bloccate i siti:
  • http://www.getmyip.org
  • http://getmyip.co.uk
  • http://checkip.dyndns.org
  • http://whatsmyipaddress.com
  •  http://trafficconverter.biz

Se i computer sono infetti:

  1. Utilizzate un antivirus che possa rimuovere Conficker
  2. Seguite le istruzioni riportate da Microsoft su come difendersi da Conficker.

 

Fonte: www.newstechnology.eu

Lascia un commento