Ancora si parla della versione B del temuto worm Conficker e le conseguenze che avrà sui portali della Southwest Airlines – www.wnsux.com – e della Rete delle donne della provincia del Qinghai – www.qhflh.com – rispettivamente il 13 ed il 18 marzo, la cui unica sfortuna è stata quella di comparire tra i domini che verranno interrogati in quei giorni dalle postazioni infettate.
Il virus, infatti, utilizza un algoritmo che genera in maniera del tutto casuale una lista di 250 pseudo-domini al giorno che saranno raggiunti dai PC vulnerabili per effettuare il download di una copia del worm. (si veda LAN POCO CURATE:CONFICKER E’ IN AGGUATO)
L’egregio lavoro fatto dal team di alcune aziende di sicurezza insieme alla Microsoft – che neanche un mese fa ha messo una taglia di 250.000 dollari sulla testa del creatore del malware – ha permesso di forzare l’algoritmo e prevedere quali saranno i prossimi domini partoriti, in modo tale da strapparli alle grinfie dei malfattori qualora ancora disponibili sul mercato ed impedirne così l’utilizzo illecito.
Il caso ha voluto che tra questi ne comparissero alcuni già appartenenti a realtà totalmente estranee alla vicenda se non per il solo fatto di correre il rischio di diventare vittime di un effetto indiretto del contagio.
Le stime, che parlano di qualche milione di computer compromessi, infatti, possono far ritenere estremamente probabile un attacco DDoS con la conseguente inibizione del servizio ai propri utenti a causa della impossibilità di gestire le molteplici connessione dirette verso la risorsa.
L’autore di Conficker, però, non si è fermato a questo.
Come in una sorta di sfida e forse con un po’ di spavalderia, l’ignoto programmatore sta replicando agli sforzi del gruppo di esperti appositamente creato per occuparsi del problema e noto come Comitato Conficker.
Difatti sembrerebbero essere stati individuati, allo stato solo in alcuni casi, degli aggiornamenti del malware che andranno ad ostacolare sensibilmente le contromisure adottate dall’organizzazione.
Non è noto però se si tratti semplicemente di qualche fenomeno isolato o sia la prova generale per un debutto che potrebbe non tardare a farsi notare.
In primis oltre ad essere stati implementati gli strumenti per contrastare il corretto funzionamento degli anti-virus, sono state adottate cautele capaci di raggirare anche i tool di network analysis e di monitoraggio del registro di sistema.
L’altro aspetto ha interessato, invece, il generatore degli pseudo-domini.
La “produzione” giornaliera, infatti, è stato innalzata da 250 a 50.000 nomi.
In attesa del 13 Marzo, non rimane che augurarsi che il Comitato non indugi e faccia la sua prossima mossa o che un conoscente dell’hacker, magari allettato dalla ingente somma messa in palio e memore dei trascorsi del tedesco Sven Jaschan – il padre di Sasser -, la cui identità fu rivelata alle forze dell’ordine da un suo amico per un quarto di milione di dollari, fornisca qualche indizio utile alla sua individuazione.
