Bloccare i siti contattati dal worm Downadup / Conficker

Il worm Downadup (o Conficker) di recente si è diffuso sui computer con Windows sfruttando una vulnerabilità abbastanza vecchia (la patch risale a fine ottobre 2008) del servizio RPC.

Una delle sue varianti più difficili da rimuovere infetta gli altri computer con diversi metodi: password guessing degli utenti del dominio, duplicazione su network share e supporti rimuovibili (su cui crea un apposito file AUTORUN.INF).

Il worm ogni giorno genera 250 nomi a dominio che tenta di contattare per ricevere aggiornamenti ed eventuali comandi remoti.

L’algoritmo con cui tali indirizzi vengono generati è stato compreso dal team di F-Secure che lo ha sfruttato per fare una specie di censimento dei PC infetti.
Allo stesso modo, F-Secure di tanto in tanto rilascia l’elenco dei domini generati, sotto forma di un file di testo in cui vengono elencati uno per riga.

Vediamo come configurare il proxy Squid e il DNS della rete locale per far sì che i client non possano contattare i siti incriminati, concedendoci il tempo necessario a eradicare il virus dalla rete.

L’epidemia di Downadup (o Conficker)

Ci sono alcune cose che trovo interessanti circa il worm Downadup (conosciuto anche come Conficker) che ha colpito milioni di computer in tutto il mondo e che continua a difondersi anche e soprattutto per via della sua variante più carogna.

Grave (e un po’ sciocco) bug su Android

Android è il sistema operativo interamente opensource sponsorizzato da Google. Il primo terminale commercializzato basato su Android è il T-Mobile G1.

Il T-Mobile G1 viene venduto dal 22 ottobre negli Stati Uniti. Da subito sono stati effettuati i primi tentativi per effettuare il cosiddetto jailbreaking, cioè lo sblocco del telefono al fine di poterlo usare con qualsiasi operatore. La semplicità con cui è stato possibile condurre tale operazione era dovuta proprio al grave bug che affligge la versione 1.0 T4-RC29 e le precedenti.