Destinatari:
tutti gli utenti di Windows XP e Windows Vista.
Il worm Conficker, chiamato anche Downadup o Kido, ha già infettato un gran numero di computer. Pur essendo difficile disporre di dati precisi, alcuni ricercatori stimano che da gennaio questa minaccia abbia già raggiunto alcuni milioni di utenti. I sistemi dotati di
Symantec Endpoint Protection
o
Symantec AntiVirus
risultano protetti, dato che tali prodotti sono in grado di rilevare e rimuovere questo worm. Gli utenti privi di protezione sono invitati a scaricare una
versione di prova di Symantec Endpoint Protection
. Symantec consiglia di intervenire tempestivamente utilizzando Network Threat Protection unitamente alla scansione antivirus in Symantec Endpoint Protection, evitando così
che il worm venga scaricato nel proprio sistema operativo.
Nuova variante scoperta di recente: Downadup.E
Questa nuova variante è stata scoperta l'8 aprile 2009. L'individuazione è stata aggiunta nelle definizioni Rapid Release con il numero di sequenza 93981 (8 aprile 2009 rev. 25), con il nome di W32.Downadup. Security Response è in grado di riconoscere questa variante a partire dalla sequenza Rapid Release 94023 (9 aprile 2009 rev. 9). Le nostre prime analisi hanno mostrato come questa variante funzioni in modo analogo a quella originale, chiamata W32.Downadup. Come descritto nel
nostro blog, questa nuova variante sembra sostituire
W32.Waledac. L'individuazione del campione W32.Waledac è stata aggiunta nelle definizioni Rapid Release con il numero di sequenza 93978 (8 aprile 2009 rev. 22). Per maggiori informazioni sulle caratteristiche di questa minaccia, consultare il Security Response relativo a
W32.Downadup.E.
Downadup.C e il 1° aprile
Questa nuova variante è destinata in modo specifico ai computer già infettati da una versione precedente della famiglia W32.Downadup. Questi computer scaricano una copia di W32.Downadup.C per potenziare le funzionalità del worm già presente al loro interno. Ulteriori dettagli sul funzionamento delle precedenti versioni della famiglia Downadup saranno forniti in seguito in questo documento.
Alcune delle caratteristiche più importanti di Downadup.C
- Maggiori possibilità di comando e controllo dei domini. Le varianti originali di W32.Downadup(.B) controllano 250 domini al giorno alla ricerca di nuovi payload a partire dal controller. La nuova variante ora contiene un algoritmo aggiornato che consente a ciascuna infezione di Downadup.C di controllare 500 domini casuali al giorno, su un totale di 50.000 possibili domini casuali. Per le aziende che si occupano di sicurezza, sarà quindi più difficile riuscire a monitorare tutti i domini. Allo stesso tempo, per l'aggressore sarà presumibilmente più difficile distribuire ulteriori "istruzioni di attacco" alle infezioni Downadup.C esistenti. Sarà infatti complicato inviare un codice di attacco a tutti i 50.000 siti. Le infezioni di Downadup.C inizieranno a contattare questi siti Web solamente a partire dal 1° aprile 2009.
- Nuove misure di anti-rilevazione. La nuova variante comprende un elenco di stringhe che vengono cercate nei processi in esecuzione. I processi che contengono una corrispondenza vengono terminati. Le stringhe costituiscono un metodo di interruzione del processo antivirus e degli strumenti di debug. Alcune stringhe comprendono "wireshark", "confick", "downad", "ms08-06" e "kb958".
Le versioni precedenti di Downadup possono diffondersi in 3 modi diversi:
Vettore di attacco n. 1: attacco a una vulnerabilità di Windows
Downadup può infettare un computer attaccando una particolare vulnerabilità presente in Windows. Microsoft ha annunciato questa vulnerabilità nell'ottobre 2008, rilasciando contestualmente una patch per correggerla. Tuttavia, molti utenti Windows non hanno ancora installato questa patch di Microsoft. Pertanto, tutti gli utenti privi di patch potrebbero essere attaccati da Downadup. Un computer non aggiornato può essere infettato da Downadup semplicemente connettendosi a una rete nella quale è presente anche solo un sistema infetto. I computer a cui sono state applicate le patch di Microsoft non sono soggetti a questa specifica modalità di attacco.
Vettore di attacco n. 2: condivisione delle unità
Nelle aziende, molti dipendenti condividono i file con i colleghi attivando la funzione di "condivisione delle unità" di Windows. Questa funzione consente all'utente di connettersi direttamente al disco rigido di un'altro utente per copiare o modificare dei file. Downadup sfrutta le condivisioni di unità di Windows. Dopo aver infettato un computer all'interno di un'azienda, Downadup si copia automaticamente su tutte le unità in condivisione aperta, visibili dagli altri computer della rete aziendale.
Vettore di attacco n. 3: unità
USB
Downadup è anche in grado di diffondersi da un computer a un'altro tramite unità USB (ad esempio, chiavette USB). Se un utente inserisce una chiavetta USB in un computer precedentemente infettato, Downadup si copia automaticamente nell'unità USB. Una volta inserita in un altro computer, Downadup viene eseguito automaticamente dall'unità USB e infetta il nuovo computer.
Dettagli sulla protezione (sono protetto?)
Sì, se viene utilizzato un prodotto antivirus Symantec Corporate (Symantec AntiVirus o Symantec Endpoint Protection) o un prodotto Norton AntiVirus (Norton Internet Security, Norton AntiVirus o Norton 360) con definizioni datate
6 marzo 2009 revisione 36 o versione successiva. Gli articoli seguenti descrivono le firme in grado di fornire una protezione immediata contro le varianti attualmente conosciute:
Symantec Intrusion Protection System protegge i clienti da questa minaccia mediante le seguenti firme:
Altre misure consigliate
- Installare tutte le patch di Windows disponibili.
- Utilizzare un Symantec Intrusion Protection System per bloccare i tentativi di sfruttamento delle vulnerabilità conosciute (MS08-067 era un vecchio vettore di attacco di questa minaccia, bloccato da Intrusion Protection).
- Applicare le politiche di sicurezza Symantec Endpoint Protection per limitare l'accesso alle unità USB e disattivare i file autorun.inf. Generalmente questi strumenti vengono utilizzati come vettori di attacco per diffondere nuove minacce.
Note dettagliate sulla protezione Symantec
I prodotti Symantec per la sicurezza dei client comprendono due livelli fondamentali di protezione contro Downadup:
- Protezione basata sulla rete
I prodotti Symantec Corporate (Symantec Endpoint Protection e Symantec Client Security) e i prodotti Norton (Norton AntiVirus, Norton Internet Security e Norton 360) offrono la tecnologia "Intrusion Protection System" o "IPS". Questa tecnologia controlla il traffico di rete da e verso ciascun computer client. La tecnologia IPS impedisce a Downadup di introdursi in un computer sottoponendo a scansione tutti i dati di rete in arrivo e bloccando le trasmissioni sospette che potrebbero tentare di sfruttare la vulnerabilità Microsoft (Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability). Inoltre, la protezione IPS di Symantec impedirà a Downadup di copiarsi da un computer a un altro utilizzando le unità in condivisione aperta ("Vettore di attacco n. 2," vedi sopra).
Il sistema di protezione IPS di Symantec rappresenta un elemento di differenziazione fondamentale in grado di impedire a questa minaccia di introdursi all'interno di un computer, anche nel caso in cui non siano state applicate delle patch correttive. La tecnologia IPS non è inclusa nella linea di prodotti Symantec AntiVirus.
- Protezione antivirus
Tutte le offerte sulla sicurezza dei client di Symantec (Symantec Endpoint Protection, Symantec AntiVirus e Symantec Client Security) comprendono firme antivirus per Downadup. Le potenti firme antivirus di Symantec sono in grado di rilevare automaticamente diverse varianti del worm Downadup. In caso di diffusione di nuove varianti, gli utenti risultano protetti anche senza ulteriori aggiornamenti.
- Protezione USB in Symantec Endpoint Protection
Symantec Endpoint Protection include funzionalità che possono essere utilizzate per impedire l'esecuzione automatica di qualsiasi programma da una chiavetta USB inserita in un computer. Per ulteriori informazioni, consultare i seguenti articoli della Knowledge Base:
Soluzione: se si possiede un computer infetto
- Utilizzare il fix tool
Symantec fornisce uno strumento di rimozione autonomo per Downadup, Downadup.B e Downadup.C in grado di assistere i clienti interessati da questa minaccia.
- Disattivare il blocco del dominio Downadup
Sui computer infetti, Downadup può bloccare la connessione ai siti Web in grado di fornire assistenza, come www.symantec.com. Per evitare questo, fare clic su Start, > Esegui e digitare quanto segue:
net stop dnscache
Questa operazione permette di disattivare il blocco, consentendo quindi la connessione ai suddetti siti Web.
Symantec consiglia
Eseguire
Symantec Endpoint Protection,
Symantec Multi-Tier Protection o
Symantec Multi-Tier Protection Small Business Edition per proteggere gli endpoint da questa minaccia.
È inoltre possibile scambiarsi idee e suggerire eventuali sviluppi relativi a Downadup nei
forum di SymConnect.
I blog dettagliati relativi a Downadup e agli altri programmi dannosi sono disponibili nel
Blog Malware di Symantec.
Grazie dei commenti. Facci sapere se hai ulteriori commenti qui sotto. (Richiede l'accesso)