Chiaramente, non mi aspettavo che succedesse alcunchè il primo di aprile, con gli occhi del mondo puntati sull’emergenza Conficker. Alla fin fine, gli hacker che l’hanno creato possono rilasciare modifiche quando cavolo gli pare, ed è proprio così che è andata: c’è un nuovo membro della famiglia in giro.
I TrendLabs hanno avuto la cortesia di continuare le ricerche sul nostro amico malware, e tenendo d’occhio la sua massa semi dormiente, hanno iniziato a percepire una minaccia differente, evoluta rispetto quella già presente: l’hanno chiamato WORM_DOWNAD.E, seguendo la nomenclatura di Conficker che lo voleva battezzare Downad/Downadup. Questo nuovo trojan riattiva la funzione di P2P al momento inutilizzata di Conficker, e parla attivamente con i server, spargendosi sui computer già infettati dal virus della generazione precedente, e scarica alcune ulteriori componenti molto interessanti.
Si tratta di comportamenti (e server) associati ad una famiglia di virus conosciuta come Waledac, che a sua volta pare essere l’ultima generazione del tanto famoso Storm Worm di cui in due anni abbiamo parlato spessissimo. Questa concatenazione di eventi potrebbe non voler dire nulla (Storm Worm, si sa, è sempre stato in vendita al miglior offerente), ma potrebbe anche essere veramente significativa. E se Storm, Waledac e Conficker fossero il lavoro di un unico gruppo?
Il significato di questo update, il download di nuovo codice, le comunicazioni con i server finora non hanno ancora un senso discernibile, comunque. Ho cercato e ricercato ovunque, e mancano dati certi. Continuo ad avere l’impressione che Conficker non sia ancora utilizzato per alcuno scopo pratico: si sta solo diffondendo. Non è molto rassicurante, vero?
Immagine di Trend Micro.