Bloccare i siti contattati dal worm Downadup / Conficker

Il worm Downadup (o Conficker) di recente si è diffuso sui computer con Windows sfruttando una vulnerabilità abbastanza vecchia (la patch risale a fine ottobre 2008) del servizio RPC.

Una delle sue varianti più difficili da rimuovere infetta gli altri computer con diversi metodi: password guessing degli utenti del dominio, duplicazione su network share e supporti rimuovibili (su cui crea un apposito file AUTORUN.INF).

Il worm ogni giorno genera 250 nomi a dominio che tenta di contattare per ricevere aggiornamenti ed eventuali comandi remoti.

L’algoritmo con cui tali indirizzi vengono generati è stato compreso dal team di F-Secure che lo ha sfruttato per fare una specie di censimento dei PC infetti.
Allo stesso modo, F-Secure di tanto in tanto rilascia l’elenco dei domini generati, sotto forma di un file di testo in cui vengono elencati uno per riga.

Vediamo come configurare il proxy Squid e il DNS della rete locale per far sì che i client non possano contattare i siti incriminati, concedendoci il tempo necessario a eradicare il virus dalla rete.

L’epidemia di Downadup (o Conficker)

Ci sono alcune cose che trovo interessanti circa il worm Downadup (conosciuto anche come Conficker) che ha colpito milioni di computer in tutto il mondo e che continua a difondersi anche e soprattutto per via della sua variante più carogna.