Il worm Conficker già rilevato sin dall'ottobre 2008. sta facendo una marea di danni

La diffusione dell'infezione è stata stimata a 3,5 milioni di computer con sistema operativo Windows; vengono colpite in prevalenza reti aziendali, e risulta estremamente difficile sanare il network di un'azienda dopo che è stato infettato. Originariamente, l'attacco da parte del malware è iniziato sfruttando una vulnerabilità critica di Windows, prontamente patchata da Microsoft, ma ciò non è servito a porre un freno all'inarrestabile diffusione, basata successivamente su altri punti deboli come la falla recentemente riparata nel Windows Server Service.

Conficker avvia la ricerca del file services.exe, diventandone poi parte del codice. A questo punto, il worm copia se stesso come un file dll — con un nome casuale da 5 a 8 caratteri — nella directory di sistema di Windows, modificando il registro di sistema e facendo sì che la libreria incriminata venga avviata come un normale servizio. Infine, dopo aver creato un server HTTP, esso resetta il punto di ripristino, in modo da rendere il ripristino di sistema molto più arduo e inizia a scaricare contenuti da un apposito sito.

Ed è anche in quest'ultimo punto che Conficker si differenzia dalla maggior parte degli altri worm in circolazione: esso si poggia su un complicato algoritmo basato sul tempo, il quale genera centinaia di indirizzi web, uno solo dei quali sarà quello utilizzato dal cracker. Questo rende impossibile trovare il sito da cui vengono effettuati i download: al limite, tramite un processo di reverse engeneering, si può arrivare solo a fare la stima del numero di vittime, osservando quanti PC si connettono a uno dei siti sospetti.

Ci sono comunque anche delle buone notizie: Christian Craioveanu e Ziv Mador, del Microsoft Malware Protection Center, hanno annunciato nel loro blog l'aggiornamento del Malicious Software Removal Tool, che permetterà di rimuovere il worm, nel caso sia rilevato in una macchina o in un ambiente.