17 Febbraio 2009 di Daniele Frulla
Tra i virus più pericolosi in circolazione è nato alla fine del 2008 Conficker. Il virus è entrato ormai in molte strutture informatiche sfruttando una falla del sistema operativo Microsoft di codice MS08-067.
La falla di Microsoft può portare all’esecuzione remota (tramite apposite richieste RPC) di applicazioni non desiderate come worm.
Quando è in esecuzione Conficker copia se stesso in un percorso a caso nella cartella di sistema %Sysdir% (solitamente C:\Windows\System32).
Successivamente modifica la chiavi di registro per creare un servizio con nome casuale sul sistema compromesso:
Esegue connessioni ad uno o più siti web per ottenere l’indirizzo pubblico del sistema infetto. Tra i siti web usati vi sono:
Da internet scarica il file malware:
Scansione continuamente la rete locale per verificare vulnerabilità delle macchine infettate ed eseguire exploit. Se gli exploit hanno successo, il computer remoto si connetterà all’http server e scaricherà la copia del file worm.
L’ultima variante di Conficker.worm usa lo schedulatore dei processi e un file Autorun.inf file per replicarsi su sistemi non vulnerabili o infettare macchine precedentemente pulite.
Se i computers non sono ancora infetti:
- http://www.getmyip.org
- http://getmyip.co.uk
- http://checkip.dyndns.org
- http://whatsmyipaddress.com
- http://trafficconverter.biz
Se i computer sono infetti:
Fonte: www.newstechnology.eu
Lascia un commento