Ci sono alcune cose che trovo interessanti circa il worm Downadup (conosciuto anche come Conficker) che ha colpito milioni di computer in tutto il mondo e che continua a difondersi anche e soprattutto per via della sua variante più carogna.

1. La vulnerabilità di RPC di Windows sfruttata per propagarsi risale allo scorso mese di ottobre 2008. Microsoft ha rilasciato la relativa patch con solerzia, proprio per la pericolosità del problema. I worm hanno iniziato a diffondersi intorno a Natale, con la variante B rilevata per la prima volta a fine anno. Ci sono stati due mesi di tempo per aggiornare con calma i sistemi operativi affetti, perché non è stato fatto?
2. L’ultima variante di Downadup per infettare nuove macchine sfrutta, oltre al baco di RPC, altri metodi. Uno di questi è copiarsi su ogni memoria di massa rimuovibile che viene inserita nel computer (hard disk esterni, schede di memoria, chiavette USB) su cui crea anche un file autorun.inf. Quando il supporto verrà collegato a un altro computer questo eseguirà tale file e quindi il virus. Proprio come i vecchi virus dei tempi del DOS, quando erano il boot sector e il command.com le vittime designate.
3. Il worm serve a creare una (o più…) botnet il cui scopo al momento non dato sapere. Alcuni worm hanno al loro interno una serie di indirizzi da contattare, i cosiddetti C&C (Command & Control), da cui scaricare moduli, aggiornamenti, ricevere comandi. Va da sé che una volta individuati questi indirizzi la contromisura più ovvia è bloccarli.

Downadup non ha questa lista, ma ogni giorno genera con un algoritmo 250 nomi a dominio. I cattivi possono semplicemente registrare il tal dominio per il tal giorno, tirare su il server per controllare la botnet, e aspettare. Non è il primo worm di questo tipo, ma è per ora il più sofisticato (altri si limitavano a pochi domini).

L’algoritmo è stato decodificato da F-Secure che lo ha sfruttato contro il worm stesso: hanno registrato uno di quei domini e hanno aspettato che le macchine infette li contattassero. Non si sono permessi alcuna mossa poiché avrebbero probabilmente infranto le leggi di molti paesi, ma hanno utilizzato questo sistema per contare gli indirizzi IP e fare una stima (via via aggiornata) dell’estensione dell’infezione.

Hanno anche creato una lista di indirizzi generati per i prossimi giorni (fino al 31 gennaio), che può essere scaricata e utilizzata per bloccare gli accessi verso l’esterno. Non rimuove il worm, ma evita che diventi qualcos’altro.