Eliminare worm Conficker

Un worm è una particolare categoria di software nocivo che è in grado di auto replicarsi, per diffondersi ha bisogno di legarsi ad altri eseguibili; la tipologia forse più subdola di worm sfrutta dei bug presenti su alcuni software o sistemi operativi, in modo da diffondersi automaticamente.

Il worm Conficker, lo scorso ottobre è stato tra i primi ad approfittare di una grave vulnerabilità di Windows, e continua a diffondersi, vi è stata anche una variante di Conficker, la versione B, che è riuscita a infettare oltre un milione di computer in meno di 24 ore.

Conficker nella nuova variante è stato rilevato per la prima volta a metà dicembre, ha causato notevoli disagi rallentando le operazioni di login agli account presenti in rete e bloccando totalmente l’accesso ai siti web delle compagnie di sicurezza informatica.

Il worm prevede tre metodi di diffusione:
1.    La prima modalità di diffusione sfrutta un exploit per una falla descritta da Microsoft;
2.    La seconda modalità di diffusione utilizza un attacco dizionario (forza bruta), in questo modo il worm tenta di eseguire il login alle risorse condivise attraverso un piccolo dizionario di password comuni;
3.    La terza modalità è la diffusione attraverso dischi esterni e di rete, in questo caso il worm si replica all’interno dei dischi e Pen drive inserendo un file di autorun che eseguirà l’infezione non appena si accederà al drive stesso.

Per la rimozione dell’infezione è consigliabile isolare eventuali server condivisi, disabilitare la funzionalità di autorun, aggiornare i PC. Il malware disabilita alcuni servizi di Windows, tra cui Windows Defender e Windows Update.
Il worm inoltre, modifica il firewall di Windows, aprendo una porta TCP casuale mettendosi in ascolto come server HTTP. Il server sarà utilizzato per diffondere l’infezione via lan e quindi infettare tutti computer collegata alla LAN.