Kido (conosciuto anche come Conficker o Downadup) pone oggi a rischio l’intera rete. I milioni i computer infettati da Kido potrebbero diventare una delle armi più potenti a disposizione dei cybercriminali.
Kido si diffonde attraverso le reti locali e i dispositivi di archiviazione di massa. Penetra all’interno dei computer sfruttando la vulnerabilità MS08-067 di Windows, per la quale Microsoft ha rilasciato una patch lo scorso autunno. Gli esperti ritengono che a Gennaio 2009, fossero ancora molti i computer senza patch, proprio nel momento in cui la diffusione Kido ha raggiunto il suo picco. Non avere installato la patch e l’utilizzo di soluzioni antivirus poco efficaci, ha permesso un’epidemia globale: si stimano oggi tra i 5 e i 6 milioni di computer infetti da Kido o da una delle sue varianti.
Ci sono alcuni fattori che ne hanno permesso una diffusione tanto enorme – la negligenza nell’uso di soluzioni antivirus adeguate e l’assenza di un’organizzazione internazionale che si occupi della sicurezza della rete che possa coordinare gli sforzi dei vari governi.
In passato abbiamo assistito ad epidemie simili, anche se i programmi che nel passato hanno causato delle epidemie non avevano le stesse capacità di Kido di eludere il suo rilevamento e prevenire la disinfezione delle macchine colpite.
Oggi la terza versione di Kido si sta diffondendo su Internet. Questo programma implementa le più sofisticate tecnologie utilizzate dai creatori di virus – scarica aggiornamenti di sé stesso da siti che cambiano di continuo; usa le reti locali come fonte aggiuntiva per i suoi aggiornamenti; usa un complesso algoritmo di crittografia per proteggersi; ha sofisticati meccanismi per disabilitare le soluzioni antivirus, etc.
La terza versione di Kido si aggiorna tramite 500 domini scelti da un totale di 50.00 domini che genera quotidianamente. Questi 500 domini vengono selezionati casualmente tra tutti quelli creati e questo rende estremamente difficile monitorare i domini utilizzati dal virus.
A causa di questa sua caratteristica, Kido potrebbe diventare il più potente strumento nelle mani dei cybercriminali ed il più difficile da bloccare nella storia di Internet. L’enorme botnet creata dagli autori di Kido, fornisce ai cybercriminali la possibilità di condurre potentissimi attacchi DDoS su qualsiasi risorsa web, per rubare informazioni riservate o diffondere mailing spam enormi.
A marzo ci sono stati aggiornamenti di massa ad una versione più vecchia del worm. Oggi 1 Aprile la botnet creata da Kido utilizzerà la procedura descritta in precedenza per ricevere istruzioni dai suoi autori da 50.000 domini diversi; cosa vorranno poi fare i cybercriminali una volta attivata la botnet resta un mistero.
Nel frattempo Kaspersky Lab ha rilasciato una utilissima serie di FAQ sulla problematica che riportiamo di seguito.
FAQ Kido (Conficker, Downadup) FAQ
Che cos’è Kido?
Kido è un worm che si diffonde attraverso le reti locali e le periferiche di archiviazione di massa ed è stato rilevato per la prima volta a Novembre del 2008. L’ultima variante di Kido non è in grado di diffondersi autonomamente ma, come i suoi predecessori, è in grado di scaricare suoi aggiornamenti.
Kido ha creato una potente botnet di macchine infette programmata per aggiornarsi il 1 di Aprile e, nella sua ultima versione, è in grado di generare 50.000 nomi di domini seguendo un algoritmo casuale e scegliere poi 500 di questi domini per aggiornarsi. La tecnologia utilizzata nella creazione di Kido è piuttosto sofisticata. Scarica i suoi aggiornamenti da risorse web in continuo cambiamento; usa le reti P2P some risorsa aggiuntiva per i suoi download; usa un complesso algoritmo di crittografia per evitare interferenze con al suo centro di controllo ed impedisce alle soluzioni antivirus di aggiornarsi.
Non è ancora chiaro il motivo per cui Kido ha creato la sua botnet e come questa potrebbe essere utilizzata in futuro.
Perché Kido è un pericolo?
L’enorme botnet di computer infettati da Kido potrebbe permettere ai cybercriminali attacchi DDoS a qualsiasi risorsa web, rubare informazioni riservate dai computer infetti ed utilizzarli per diffondere spam. La nostra stima è che abbia infettato quasi 6 milioni di computer in tutto il mondo.
Inizialmente Kido si diffondeva attraverso le reti locali e i dispositivi di archiviazione di massa. In particolare, sfruttava la vulnerabilità critica MS08-067, per la quale Microsoft ha rilasciato una patch ad Ottobre del 2008. Purtroppo molti computer non hanno scaricato la patch prima di Gennaio 2009, quando la diffusione di Kido ha raggiunto il suo picco.
Maggiori informazioni su come Kido è in grado di penetrare all’interno di un computer possono essere trovate a questi link:
http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782725 http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782733 http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782749 http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782790 Come è possibile prevenire l’infezione di Kido?
Le soluzioni Kaspersky Lab sono in grado di proteggere gli utenti da qualunque versione di Kido. E’ importante assicurarsi di aver attivato gli aggiornamenti automatici (abilitati di default) ed aver effettuato almeno una scansione completa del computer.
Nonostante Kaspersky Internet Security possa proteggere anche i computer che non hanno scaricato alcuna patch, è consigliabile controllare di aver installato gli ultimi aggiornamenti forniti da Microsoft (in particolare l’aggiornamento MS08-067).
Come posso sapere se il mio PC è infetto?
Se qualcuno dei computer presenti sulla rete locale è infetto, si noterà un aumento del volume di traffico dati dovuto agli attacchi di Kido agli altri computer. Gli antivirus con firewall attivo, segnaleranno un attacco Intrusion.Win.NETAPI.buffer-overflow.exploit.
Nel caso si sospettasse un’infezione del proprio computer, basta aprire il browser e provare a navigare. Se è tutto normale, provare ad aprire la pagina www.kaspersky.com o www.microsoft.com – se una di queste pagine non viene aperta, è probabile che Kido ne stia bloccando l’accesso. La lista completa delle risorse web bloccate da Kido è disponibile al link:
http://www.viruslist.com/en/viruses/encyclopedia?virusid=21782725
Sono un amministratore di rete. Come posso contenere l’infezione ed eventualmente rimuoverla?
E’ possibile cancellare il programma maligno con l’aiuto di un’applicazione specifica, KKiller.exe. Per prevenire invece l’infezione su altre macchine, è necessario:
Installare le patch per le vulnerabilità MS08-067, MS08-068 e MS09-001. Assicurarsi di aver una password di amministratore efficace – ossia di almeno sei caratteri, con maiuscole e minuscole insieme, numeri e simboli. Disabilitare l’autorun per tutti i dispositivi rimovibili. Disabilitare Task Scheduler.
Se si sta utilizzando KKiller.exe per rimuovere Kido, è meglio avviare questa applicazione su tutti i PC infetti.
Come posso rimuovere Kido dal mio PC di casa?
E’ possibile scaricare KKiller_v3.4.1.zip ed avviare KKiller.exe. Una volta terminata la scansione, un finestra con delle righe di comando si aprirà, è sufficiente premere un tasto qualsiasi per chiuderla.
Altri consigli su come rimuovere Kido sono disponibili nella sezione del sito Kaspersky Lab dedicata al supporto tecnico:
http://support.kaspersky.com/faq/?qid=208279973.
