Conficker蠕虫事还没完：或将引发DDoS攻击

ZDNet安全频道原创翻译 转载请注明作者以及出处

看上去 Conficker 蠕虫所选择的攻击对象并不是随机产生的，如果你经常光顾西南航空的网站，可要小心了。
--------------------------------------------------------------------------------------------

　　Sophos实验室 的安全分析人员Mike Wood 给我们来带了一个警报。据他的研究显示，被Conficker 感染的电脑在三月份对大约7750个网站域名进行连接。

　　西北航空公司被蠕虫感染

　　据他发现，被受蠕虫感染的电脑主动连接的域名中，有一个名为 wnsux.com，这个域名属于美国西南航空公司。西南航空公司采用wnsux.com 域名的主要目的就是防止攻击以及重定向请求到该公司的主力域名southwest.com。 Wood在他的blog文章Conficker Collateral Damage for March 2009中表示：

　　“在3月13日，上百万受Conficker感染的电脑将自动连接wnsux.com域名，并等待下一步指令。虽然这个计划没有取得任何实质性的成果，但是如此多的连接请求确实影响到了southwest.com的正常运作。”

　　可能会发生的状况

　　Wood 进一步解释了作为一个网站域名所有者，一旦你的域名进入了Conficker的黑名单，会是一件多么令人郁闷的事情：

　　“一个合法网站被Conficker选中，会带来两大麻烦事：首先，蠕虫可能会屏蔽用户对该域名的访问请求，阻止用户使用该网站提供的相应服务。其次，上百万被Conficker感染的系统会在特定的日期和时间对这个合法域名发起访问请求，如此众多的访问请求最终会导致网站负荷超载，即受到了DoS攻击。”

　　其它受影响的域名

　　Wood 还公布了一系列被Conficker关注的网站域名，并与这些网站负责人取得了联系，提供相关建议。在未来几周会受到Conficker光顾的主要域名包括：

　　· 3月8日 …jogli.com…Big Web Great Music

　　· 3月13日…wnsux.com…西南航空公司

　　· 3月18日…qhflh.com…青海妇联网站

　　· 3月31日…praat.org…Praat: doing phonetics by computer

　　网站拥有者的选择

　　西南航空公司非常幸运，对他们来说，所要做的就是在几天时间中关闭wnsux.com到southwest.com的解析。其余网站由于没有重定向问题，因此解决起来可能会稍微麻烦一些。Wood提供了一个较为有效的过滤方案：

　　“其它的方案可以是过滤Conficker的 HTTP请求http:///search?q=，这需要你的网站暂时不使用“search”页面”

　　总 结

　　之前我曾经提过，安全分析人员对于Conficker开发者的开发动机感到奇怪，因为到本文截稿为止，这款蠕虫除了散播和感染电脑外，没有做什么实质性的破坏。