Gli autori del worm Conficker sembra stiano lavorando su nuove versioni del worm. Stando all’analisi condotta dai ricercatori di SRI International, le più recenti varianti B e B++ del malware poggerebbero su un codice maligno molto più flessibile rispetto al passato, in grado di prelevare nuovi componenti nocivi e “payload” modificati.
La prima versione di Conficker faceva uso di una metodologia tutto sommato semplice per la scelta dei domini da contattare di volta in volta. Come aveva spiegato inizialemnte F-Secure, quindi, si poteva predire i domini che Conficker avrebbe via a via utilizzato. Microsoft ed ICANN hanno collaborato per prendere il controllo di tali nomi a dominio rendendo così più difficoltosa l’attività del worm (vedere, in proposito, questa notizia). La società di Redmond, inoltre, ha posto una sorta di “taglia” di 250.000 dollari sugli sviluppatori del malware Conficker.
La nuova variante è stata modificata in modo da essere in grado di “mutare” più semplicemente nel corso del tempo e quindi di variare il suo comportamento. Mentre, in precedenza, Conficker modificava in memoria la libreria netapi32.dll per prevenire ulteriori attacchi alla vulnerabilità sanata con il rilascio della patch MS08-067, adesso l’intervento effettuato viene ampliato per aprire il worm ad altre funzionalità. Viene invece controllata la presenza di una particolare “impronta” nel codice prelevato da remoto. Il payload viene eseguito solamente se “validato” dal malware.
Il nuovo Conficker, inoltre, sembra non includere il cosiddetto “suicide switch” nel caso in cui dovesse eseguirsi su sistemi dotati di una tastiera contenente caratteri ucraini. Le prime versioni di Conficker, infatti, non “si attivavano” in presenza di tale layout di tastiera: per questo motivo si pensò subito all’Ucraina come alla nazione di residenza degli autori del worm.
La variante B++, inoltre, non solo è in grado di scaricare DLL “maligne” ma anche interi programmi dannosi. Questa caratteristica estende di fatto le abilità del malware rendendo più semplice, per gli aggressori, ricorrere a Conficker per la creazione di vere e proprie botnet, insiemi di computer controllati illecitamente all’insaputa del proprietario. Queste “reti” di computer vengono frequentemente impiegate, ad esempio, per l’invio di enormi quantità di e-mail di spam.
I ricercatori hanno contato più di 10 milioni di IP, associati ad altrettante macchine che presentano i sintomi dell’infezione da Conficker. Più di 6 milioni di sistemi sarebbero interessati dalla variante B del worm. Secondo SRI International i dati sarebbero abbondantemente approssimati per difetto.
Un’ottima spiegazione sulle novità di Conficker, è disponibile sul sito di SRI International facendo riferimento a questa pagina.