|
|
TechCorner
Il tempo di Conficker non è ancora scaduto
I consigli Kaspersky per tenere lontano i rischi della
variante chiamata anche Kido
 3 Aprile 2009
- Un po' per i pericoli reali, un po' per l'alea leggendaria creatasi
intorno, con il richiamo aggiuntivo di una data più che simbolica, per
diversi giorni il worm Conficker, o Kido che dir si voglia, è
stato in cima alle preoccupazioni di responsabili dei sistemi IT ma anche
dei singoli utenti, spesso più interessati ai discorsi comuni che a capire
come mettere realmente al sicuro i propri dati. Nonostante il giorno
fatidico del primo aprile sia ormai passato, per chi non ha visto il proprio
pc infetto, il pericolo non è scongiurato. Ecco allora che Kaspersky
ha stilato una serie di consigli utili dall'utente che intendesse non
abbassare la guardia.
Che cos’è
Kido?
Kido è un worm che si diffonde attraverso le reti locali e le periferiche di
archiviazione di massa ed è stato rilevato per la prima volta a Novembre del
2008. L’ultima variante di Kido non è in grado di diffondersi autonomamente ma,
come i suoi predecessori, è in grado di scaricare suoi aggiornamenti.Kido
ha creato una potente botnet di macchine infette programmata per aggiornarsi il
1 di Aprile e, nella sua ultima versione, è in grado di generare 50.000 nomi di
domini seguendo un algoritmo casuale e scegliere poi 500 di questi domini per
aggiornarsi. La tecnologia utilizzata nella creazione di Kido è piuttosto
sofisticata. Scarica i suoi aggiornamenti da risorse web in continuo
cambiamento; usa le reti P2P some risorsa aggiuntiva per i suoi download; usa un
complesso algoritmo di crittografia per evitare interferenze con al suo centro
di controllo ed impedisce alle soluzioni antivirus di aggiornarsi.Non è ancora
chiaro il motivo per cui Kido ha creato la sua botnet e come questa potrebbe
essere utilizzata in futuro.
Perché Kido
è un pericolo?
L’enorme botnet di computer infettati da Kido potrebbe permettere ai
cybercriminali attacchi DDoS a qualsiasi risorsa web, rubare informazioni
riservate dai computer infetti ed utilizzarli per diffondere spam. La nostra
stima è che abbia infettato quasi 6 milioni di computer in tutto il mondo.
Inizialmente Kido si diffondeva attraverso le reti locali e i dispositivi di
archiviazione di massa. In particolare, sfruttava la vulnerabilità critica
MS08-067, per la quale Microsoft ha rilasciato una patch ad Ottobre del 2008.
Purtroppo molti computer non hanno scaricato la patch prima di Gennaio 2009,
quando la diffusione di Kido ha raggiunto il suo picco.
Come è
possibile prevenire l’infezione di Kido?
Le soluzioni Kaspersky Lab sono in grado di proteggere gli utenti da qualunque
versione di Kido. E’ importante assicurarsi di aver attivato gli aggiornamenti
automatici (abilitati di default) ed aver effettuato almeno una scansione
completa del computer.
Nonostante Kaspersky Internet Security possa proteggere anche i computer che non
hanno scaricato alcuna patch, è consigliabile controllare di aver installato gli
ultimi aggiornamenti forniti da Microsoft (in particolare l’aggiornamento
MS08-067).
Come posso
sapere se il mio PC è infetto?
Se qualcuno dei computer presenti sulla rete locale è infetto, si noterà un
aumento del volume di traffico dati dovuto agli attacchi di Kido agli altri
computer. Gli antivirus con firewall attivo, segnaleranno un attacco
Intrusion.Win.NETAPI.buffer-overflow.exploit.
Nel caso si sospettasse un’infezione del proprio computer, basta aprire il
browser e provare a navigare. Se è tutto normale, provare ad aprire la pagina
www.kaspersky.com o
www.microsoft.com – se
una di queste pagine non viene aperta, è probabile che Kido ne stia bloccando
l’accesso.
Sono un
amministratore di rete. Come posso contenere l’infezione ed eventualmente
rimuoverla?
E’ possibile cancellare il
programma maligno con l’aiuto di un’applicazione specifica,
KKiller.exe. Per
prevenire invece l’infezione su altre macchine, è necessario:
Installare le patch per le vulnerabilità
MS08-067,
MS08-068
e
MS09-001.
Assicurarsi di aver una password di amministratore efficace – ossia di almeno
sei caratteri, con maiuscole e minuscole insieme, numeri e simboli. Disabilitare
l’autorun per tutti i dispositivi rimovibili.
Disabilitare Task Scheduler.
Se si sta utilizzando KKiller.exe per rimuovere Kido, è meglio avviare questa
applicazione su tutti i PC infetti.
Come posso
rimuovere Kido dal mio PC di casa?
E’ possibile scaricare
KKiller_v3.4.1.zip ed
avviare KKiller.exe. Una volta terminata la scansione, un finestra con delle
righe di comando si aprirà, è sufficiente premere un tasto qualsiasi per
chiuderla.
|
|
