Come un fantasma, l'ombra di Conficker (alias Downup, Downandup, Conflicker, e Kido) continua indisturbata a percorrere le strade di Internet.

A distanza di circa un anno (la prima manifestazione si ebbe, l'anno scorso, in novembre) , il virus continua a eludere gli sforzi battendo gli esperti in sicurezza che hanno tentato, inutilmente, in circa un anno, di sradicare completamente questo flagello.

Nonostante siamo lontani dai livelli di propagazione del contagio rilevati durante la fine dell'anno passato, esperti dell'industria del software, accademici e ricercatori del governo continuano ad affermare che il pericolo non è di sicuro passato e invitano a non abbassare la guardia. Grazie alla sua sofisticazione, alla possibilità di personalizzazione e ad alcune funzioni di polimorfismo, Conficker mantiene sempre, negli ambienti specializzati, un livello di attenzione elevato.

Lo dimostra il fatto che le ultime varianti hanno modificato il loro comportamento passando dal controllo diretto remoto dei PC alla produzione di spam. Due varianti inoltre sono state orientate nell'ottica dei keylogger e, infine, una, colpisce il PC infetto con funzioni di ramsonware.

Gli specialisti hanno recentemente proposto una nuova ipotesi circa l'origine di questo malware: secondo gli specialisti il software sarebbe stato messo a punto non da un gruppo criminale, ma da agenzie di intelligence o militari di nazioni intenzionate a produrre caos nei sistemi informativi occidentali.

La supposizione pare suffragata dalla somiglianza di operazioni di questo genere che furono avviate in Estonia nel 2007 e in Georgia l'anno scorso e, più recentemente, nei confronti della Corea del sud, specialmente durante il periodo tra maggio e luglio.

A distanza di un anno, ancora oggi non si hanno indizi efficaci per rilevare l'origine dell'infezione e individuare gli autori. L'unica cosa su cui tutti quanti i ricercatori sono d'accordo è che il software è stato creato da professionisti, che hanno a disposizione conoscenze e tecnologie molto avanzate. Il tutto dimostrato anche dalla possibilità che il programma ha di difendersi e dalle difficoltà incontrate nella procedura di bonifica.

Alcuni indizi circa l'origine (inizialmente il programma bloccava le tastiere in linguaggio ucraino e i primi report di contagio provenivano appunto da Kiev oltre che da Buenos Aires) si sono dimostrati poi inconsistenti.

Fin dal giorno successivo alla prima infezione, avvenuta il 20 novembre dell'anno scorso, fu formato un gruppo di volontari, di nome "Conficker Cabal" che poi fu fatto proprio da Symantec che, nel frattempo, aveva riunito le proprie forze con quelle di altre software house.

In ogni caso, dopo un periodo di quiescenza, il virus si è rifatto vivo in maniera potente, grazie un ridisegno parziale del codice. In un recente convegno sull'argomento, tenutosi martedì scorso, Rodney Joffe, direttore del progetto Conficker Working Group, ha affermato che è troppo presto per cantare vittoria e che è prevedibile, nei prossimi mesi, una recrudescenza del contagio a livelli che potrebbero superare quelli iniziali.

Fonte: Security, Privacy and the Law