Neeris, in arrivo il clone diConficker.

Scritto da Italo Vergani.

Quest'ultimo  una vecchia conoscenza - le prime tracce risalgono al 2005 - che per sta "copiando alcune delle strategie di Conficker": parola di Microsoft. Tanto basta, quindi, per destare attenzione: "Ora sta sfruttando lo stesso bug su cui fa leva Conficker , e si diffonde attraverso i flash drive, un'altra caratteristica di Conficker" scrivono Ziv Mador e Aaron Putnam sul blog di Microsoft Malware Protection Center.

Secondo i ricercatori, gli autori di Neeris hanno aggiunto al codice del worm un exploit per la vulnerabilit a suo tempo corretta da Big M con la patch MS08-067, relativa a un bug di Windows Server, che riguarda la condivisione di file e stampanti da parte di computer Windows.

"Neeris si diffonde [anche, ndR] attraverso l'Esecuzione automatica - scrivono Mador e Putnam - La nuova variante aggiunge addirittura la stessa opzione 'Open folder to view files' di Conficker". Quest'ultimo messaggio, specie se conseguente all'inserimento di una chiave Usb o dispositivo equivalente sul proprio Pc,  una sorta di cartina al tornasole per i sistemi Windows non in lingua inglese: se compare,  d'obbligo fermarsi, eseguire un aggiornamento del proprio antivirus e una scansione approfondita del sistema e del dispositivo infetto.

Il meccanismo d'attacco del worm  lo stesso di Conficker: viene aggiunto un file autorun.inf alla directory principale dei dispositivi rimovibili che - appena il dispositivo viene collegato - copia il worm nella macchina, infettandola. La conclusione cui arrivano i ricercatori  semplice: "E' possibile che gli autori di Conficker e Neeris siano in contatto o almeno a conoscenza delle caratteristiche dei rispettivi 'prodotti'". Ipotesi non certo peregrina, sapendo che la versione riveduta e corretta di Neeris ha iniziato a diffondersi il 31 marzo, proprio il giorno prima dell'attacco portato da Conficker.C.

 "Tuttavia - concludono i ricercatori - Neeris non viene scaricato da nessuna variante di Conficker, e quindi non c' prova che sia collegato all'algoritmo di attivazione basato sui domini [di Conficker.c]". Per il nuovo worm dal sapore antico, i rimedi sono quelli, gi noti, previsti per Conficker: "Se non  gi stato fatto, installare la patch MS08-067 e stare attenti all'uso dell'Esecuzione Automatica, o disabilitarla ".

Italo Vergani.


