科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Conficker 蠕虫“蠢蠢欲动”

Conficker 蠕虫“蠢蠢欲动”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

第二条是,当感染病毒的主机解析 HTTP rendez-vous 域名时,它会将解析的 IP 与已查询过的 IP 列表进行对比,如果新 IP 存在于列表中,那么它将继续对比列表中的下一个域。

作者:ZDNet安全频道 来源:ZDNet安全频道 2009年4月17日

关键字: 蠕虫 病毒 McAfee Conficker

  • 评论
  • 分享微博
  • 分享邮件

  4 月 1 日,Conficker 病毒并没有像传言那样发作,似乎表面一切正常。

  当然,事情没有这么简单。在最近的一次爆发中,仍将有大量的信息身处险境。下面,我试着对Conficker 病毒的新功能加以总结。

  4 月 7 日/8 日期间,Conficker 再次有所动作。发作之后,Conficker 利用点对点 (P2P) 信道进行自动通报,而非通过 HTTP rendez-vous 启动最新的恶意攻击。这种情况下,感染病毒的主机将首先由另一主机通过对等 P2P 连接进行通讯。这有些类似于闹钟。然后,在几个小时的时间里,一旦“唤醒”病毒,通讯将会再次启动 ,这一次则是由感染病毒的主机发出。

  可以肯定的是,Conficker 的更新并非“一气呵成”。当该流量(aka 更新)渐渐消失或至少大部分都无法监控到,则表示其通过分段及不对称 UDP 通讯完成了通讯。

  那么接下来会发生什么呢?该 P2P 通讯流结束后,一般会指示主机进入某个域并下载文件。这时该 TCP“登场了”。感染病毒的主机会访问某个地址,并下载一份加密的可执行文件。一旦执行该文件,它将包含诸如不断变种的FakeAlert 甚至 Waledac 这类恶意软件。所以最终,我们可能会看到类似于以下截图的情景:

  

Conficker 蠕虫“蠢蠢欲动”

  

Conficker 蠕虫“蠢蠢欲动”

  我们还可以看到,有些主机已被植入了 Waledac payload。(事实上,它可能包含不法之徒在这些域上植入的任何内容。)

  这些下载的内容分别被检测为 FakeAlert-SpywareProtect 和 Waledac.gen.b。

  同时作为 payload 程序的一部分下载下来的,是我们熟悉的类似于 MS08-067 的“热”补丁。而这一次,它更接近于原始补丁 — 因为这样可以躲过检测。(请注意:我们的 McAfee Conficker Detection 工具正在重新设计中,旨在支持对最新变种的检测。)

  还有两条值得注意的事情。第一条就是要关注新的截止日。5 月 3 日,该最新变种就将过期。细想一下,这一点会让我们联想到很多有趣的问题。比如说,这是否只是偶然散播 Waledac 的 Conficker 开发团队的一次小试验?亦或只是出于其他的个人原因(比如转移注意力)采取该措施?或许这只是租用的 botnet 的截止日期?我想大多数安全机构一定都在思考这些有趣的问题。

  第二条是,当感染病毒的主机解析 HTTP rendez-vous 域名时,它会将解析的 IP 与已查询过的 IP 列表进行对比,如果新 IP 存在于列表中,那么它将继续对比列表中的下一个域。

  当然,如有其他事情发生,我们将会及时通报。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章