La nuova variante di Conficker sceglie il P2P

Trend Micro ha scoperto un nuovo file generato da un nodo IP già individuato come parte della rete peer-to-peer (P2P) di Conficker: si tratta di una nuova variante denominata WORM_DOWNAD.E che fa pensare alla ripresa delle attività da parte dei cybercriminali autori del famigerato worm Conficker. Questo può essere l’inizio di una serie di attacchi più gravi e pericolosi.

I ricercatori Trend Micro hanno monitorato con attenzione la rete alla ricerca di segni di attività relativa a Conficker, scoprendo un aumento delle comunicazioni P2P intercorse tra i nodi della rete peer-to-peer di Conficker che si pensa essere situata in Corea. Nello specifico, il file rilevato era localizzato in una cartella temporanea di Windows ed era stato creato il 7 aprile 2009 alle 19:41:21 PDT.

La nuova variante WORM_DOWNAD.E si attiva utilizzando un filename e un nome di servizio casuali per poi collegarsi ai seguenti siti: myspace.com, msn.com, ebay.com, cnn.com e aol.com. Il worm si propaga verso indirizzi IP esterni qualora sia disponibile una connessione Internet sfruttando la vulnerabilità MS08-067 dei sistemi operativi; qualora non siano trovate connessioni verso l'esterno, il codice ricorre invece a indirizzi IP locali.

Attività di ricerca e collaborazione sono attualmente in corso all'interno dei laboratori Trend Micro così come nell'ambito del Conficker Working Group. Aggiornamenti sulla situazione sono reperibili sull'apposito blog di Trend Micro.

Suggerimenti utili

Come sempre, gli utenti Internet sono invitati a installare e aggiornare il software per la sicurezza in modo da assicurarsi che i PC siano protetti da minacce Web rapide, invisibili e di difficile individuazione come questa. Per verificare se il sistema è a rischio di infezione dal WORM_DOWNAD.E si può visitare: https://securecloud.com/support/sysclean