NEWS ALIAS

NORMAN METTE IN GUARDIA DAL WORM W32/Conficker:

RAPPRESENTA ANCORA UNA MINACCIA

W32/Conficker è una famiglia di worm che si propaga in rete e che ha infettato milioni di computer in tutto il mondo fin dalla sua scoperta nell'autunno del 2008. Il worm è difficilmente riconoscibile, dal momento che non visualizza messaggi o avvisi una volta che il computer è stato infettato.

Esistono numerose varianti e una delle 'funzionalità' del worm è la capacità di diffondersi su altri computer sfruttando una vulnerabilità nel servizio Windows Server, che consente esecuzione di codice da remoto. Nell'ottobre del 2008 Microsoft ha rilasciato una patch per tale vulnerabilità, che impedisce il dilagare di tale worm. Il worm è in grado di sfruttare anche altri meccanismi di diffusione, ad esempio utilizzando le condivisioni di Windows e le penne USB infette.

Recentemente è comparsa una nuova "versione" di W32/Conficker.C. Questa versione è stata scoperta a febbraio del 2009 e contiene una serie di "miglioramenti" che le consentono di aggirare le contromisure adottate.

Alcuni esempi di tali nuove funzionalità di W32/Conficker.C sono:

• Una funzione complessa di "call home" (chiamata all'autore) per la connessione ad un "server di comando e controllo" (un centro di comando utilizzato per gestire i worm installati) per effetti aggiornati e modificati. Oltre 50.000 nuovi URL generati ogni giorno. In tal modo l'approccio di tipo "blocco URL" per l'arresto del worm risulta molto più complesso.

• Compare in molte varianti (polimorfico). Tali varianti vengono generate dinamicamente applicando algoritmi di crittografia e di compressione polimorfici.

• Il worm è in grado di disabilitare le funzionalità antivirus e antispyware e i servizi di sicurezza, nonché gli "strumenti forensi e di sistema" quali filemon, regmon, wireshark e così via.

In che modo Norman rileva e protegge:

• Vengono aggiunte all'istante nuove firme per le nuove varianti del worm in modo da fornire protezione.

• La protezione delle firme DNA Matching di numerose versioni è stata inclusa nei prodotti antivirus Norman.

Il worm è stato rilevato per la prima volta dai prodotti antivirus Norman il 27 novembre 2008. Le varianti successive sono state aggiunte in modo regolare.

Per rimuovere del tutto il worm e i suoi componenti dannosi, si consiglia di utilizzare Norman Malware Cleaner. Gli aggiornamenti che risolvono tali vulnerabilità sono disponibili mediante gli Aggiornamenti automatici di Windows per i sistemi che li supportano. In alternativa, è possibile scaricare gli aggiornamenti dal sito http://windowsupdate.microsoft.com.

Per evitare potenziali attacchi, Norman consiglia a tutti gli utenti a rischio di scaricare quanto prima gli aggiornamenti di sicurezza.

Per ulteriori informazioni su W32/Conficker, accedere all'indirizzo

 http://www.norman.com/Virus/Virus_descriptions/54793/