I criminali responsabili del worm Conficker, dopo il temuto 1 aprile, mostrano finalmente segni di attività facendo supporre che stiano preparando un colpo grosso
Trend Micro ha scoperto un nuovo file generato da un nodo IP già individuato come parte della rete peer-to-peer (P2P) di Conficker: si tratta di una nuova variante denominata WORM_DOWNAD.E che fa pensare alla ripresa delle attività da parte dei cybercriminali autori del famigerato worm Conficker. Questo può essere l’inizio di una serie di attacchi più gravi e pericolosi.
I ricercatori Trend Micro hanno monitorato con attenzione la rete alla ricerca di segni di attività relativa a Conficker, scoprendo un aumento delle comunicazioni P2P intercorse tra i nodi della rete peer-to-peer di Conficker che si pensa essere situata in Corea. Nello specifico, il file rilevato era localizzato in una cartella temporanea di Windows ed era stato creato il 7 aprile 2009 alle 19:41:21 PDT.
La nuova variante WORM_DOWNAD.E si attiva utilizzando un filename e un nome di servizio casuali per poi collegarsi ai seguenti siti: myspace.com, msn.com, ebay.com, cnn.com e aol.com. Il worm si propaga verso indirizzi IP esterni qualora sia disponibile una connessione Internet sfruttando la vulnerabilità MS08-067 dei sistemi operativi; qualora non siano trovate connessioni verso l’esterno, il codice ricorre invece a indirizzi IP locali.
Attività di ricerca e collaborazione sono attualmente in corso all’interno dei laboratori Trend Micro così come nell’ambito del Conficker Working Group. Aggiornamenti sulla situazione sono reperibili sull’apposito blog di Trend Micro all’indirizzo: http://blog.trendmicro.com.
Suggerimenti utili
Come sempre, gli utenti Internet sono invitati a installare e aggiornare il software per la sicurezza in modo da assicurarsi che i PC siano protetti da minacce Web rapide, invisibili e di difficile individuazione come questa.
Per verificare se il vostro sistema è a rischio di infezione dal WORM_DOWNAD.E visitate:
https://securecloud.com/support/sysclean
